Kerberos es un mecanismo en línea que está centralizado. En principio, podría cambiar su contraseña de Kerberos al instante. (Es posible que haya más problemas si el atacante le da una paliza, pero supongamos que podría solicitar asistencia técnica para cambiarla en este caso).
Los boletos emitidos por Kerberos tienen una duración limitada (por ejemplo, 12 horas, aunque esto es configurable), y también tienen un límite en el número de veces que se pueden renovar (que se pueden configurar en el KDC). Aquí se encuentran configuración típica en Active Directory . Un secreto comprometido tendría un efecto limitado, dentro de la vida útil de los boletos emitidos existentes.
En contraste, las PKI están destinadas a un uso más distribuido, donde los clientes y los servicios no tienen que ponerse en contacto con la CA cada vez que utiliza uno de los certificados; la comprobación de la revocación de certificados en una PKI (a través de CRL u OCSP) suele ser un paso opcional. No todos los clientes lo hacen. Los certificados también tienden a tener una vida útil más larga (generalmente uno o dos años), lo que significa que un cliente que no compruebe la revocación aún consideraría un certificado comprometido como válido por un período de tiempo mucho más largo.