Il protocollo Kerberos è pensato per fornire sicurezza di autenticazione su reti aperte e insicure dove la comunicazione tra gli host che ne fanno parte può essere intercettata. Bisogna tuttavia essere consapevoli, che Kerberos non dà nessuna garanzia se le macchine in gioco sono vulnerabili: i server di autenticazione, i server applicativi (imap, pop, smtp, telnet, ftp, ssh , AFS, lpr, …) e i client devono essere mantenuti costantemente aggiornati affinché si possa garantire l’autenticità dei richiedenti e dei fornitori di servizi. Quanto sopra, giustifica la frase: “Kerberos è un protocollo di autenticazione per host fidati su reti non di fiducia”. Solo a titolo di esempio e per ribadire il concetto: a nulla servono le strategie di Kerberos se qualcuno che ottiene accesso privilegiato ad un server, può copiarsi il file contenente la chiave segreta. L’impostore, infatti, metterà tale chiave su di un’altra macchina e gli basterà ottenere un semplice spoof di DNS o di indirizzo IP perché tale server appaia nei confronti dei client il server autentico.