Ketika Anda tidak menerapkan pra-otentikasi, penyerang dapat langsung mengirim permintaan tiruan untuk otentikasi. KDC akan mengembalikan TGT terenkripsi, dan penyerang bisa memaksa secara offline. Anda tidak akan melihat apa pun di log KDC Anda kecuali satu permintaan untuk TGT.
Ketika Anda menerapkan pra-autentikasi cap waktu, penyerang tidak dapat secara langsung meminta materi terenkripsi kepada KDC untuk brute force secara offline. Penyerang harus mengenkripsi stempel waktu dengan kata sandi dan menawarkannya ke KDC. Ya, ia bisa melakukan ini berulang-ulang, tetapi Anda akan melihat entri log KDC setiap kali ia gagal melakukan preauth.
Jadi, pra-otentikasi stempel waktu mencegah penyerang aktif. Itu tidak mencegah penyerang pasif mengendus pesan timestamp terenkripsi klien ke KDC. Jika penyerang dapat mengendus paket lengkap itu, ia dapat dengan paksa memaksanya offline.
Mitigasi terhadap masalah ini termasuk menggunakan kata sandi panjang dan kebijakan rotasi kata sandi yang baik untuk membuat kekerasan secara offline menjadi tidak layak, atau menggunakan PKINIT ( http://www.ietf.org/rfc/rfc4556.txt )