Wird ein Benutzer mittels Kerberos an einem Key-Distribution-Center (KDC) authentifiziert, bekommt dieser am Ende des Vorgangs ein Ticket-Granting-Ticket (TGT) ausgestellt. Hiermit ist dann eine transparente Anmeldung an weiteren Kerberos-Diensten möglich. Bevor es jedoch soweit ist, muss der Benutzer initial seine Identität gegenüber dem KDC nachweisen. Dieser Vorgang wird auch als Pre-Authentication bezeichnet und dient als Schutz vor Angreifern, die eine beliebige Anfrage an den Server senden, nur um dann mithilfe eines Wörterbuch- oder Brute-Force Angriffs zu versuchen, an das Benutzerpasswort zu gelangen.
Dies wäre ohne Pre-Authentication möglich, weil der KDC in einem solchen Fall einfach Daten mit einem vom Benutzerpasswort abgeleiteten Schlüssel codiert an den Client senden würde. Angreifer hätten dann jede Menge Zeit, eine Offlineattacke durchzuführen, um so letztendlich an das Benutzerkennwort zu gelangen.
Der komplette Artikel ist nur für Abonnenten des ADMIN Archiv-Abos verfügbar.