Якщо ви не застосовуєте попередню автентифікацію, зловмисник може безпосередньо надіслати фіктивний запит на аутентифікацію. KDC поверне зашифрований TGT, і зловмисник може жорстоко примусити його в автономному режимі. Ви не побачите нічого у своїх журналах KDC, окрім одного запиту для TGT.
Коли ви застосовуєте попередню автентифікацію часових позначок, зловмисник не може безпосередньо попросити КДК про зашифрований матеріал для грубої сили в режимі офлайн. Зловмисник повинен зашифрувати часову позначку паролем і запропонувати його KDC. Так, він може робити це знову і знову, але ви побачите запис журналу KDC кожного разу, коли він не відповідає дійсності.
Отже, попередня автентифікація міток часу запобігає активному зловмиснику. Це не заважає пасивному зловмисникові нюхати зашифроване повідомлення клієнта за часовою міткою на KDC. Якщо зловмисник може нюхати цей повний пакет, він може жорстоко примусити його в автономному режимі.
Пом'якшення цієї проблеми включає використання довгих паролів та правильної політики повороту пароля, щоб зробити офлайн-грубе насильство нездійсненним або використовувати PKINIT ( http://www.ietf.org/rfc/rfc4556.txt )