Как предварительная аутентификация Kerberos защищает от атак по словарю?

Предварительная аутентификация Kerberos защищает от атак по словарю, требуя от пользователя удостоверить свою личность прежде, чем ему будет выдан мандат. ru.wikipedia.org www.oreilly.com

Если предварительная аутентификация требуется, то при первом запросе к серверу аутентификации пользователь получает сообщение KRBERROR. ru.wikipedia.org Оно говорит клиенту, что необходимо отправлять ASREQ запрос со своими данными для установления подлинности. ru.wikipedia.org

Если KDC не опознаёт эти данные, то пользователь получает другое сообщение KRB_ERROR, сообщающее об ошибке, и мандат не выдаётся. ru.wikipedia.org

Таким образом, предварительная аутентификация усложняет проведение атаки по словарю, так как злоумышленнику нужно сначала зашифровать временную метку паролем и предложить её KDC. superuser.com