Kerberos è un meccanismo online centralizzato. In linea di principio potresti cambiare la tua password Kerberos all'istante. (Potrebbero esserci ulteriori problemi se l'aggressore ti picchierà, ma supponiamo che tu possa telefonare al supporto per cambiarlo in questo caso.)
I ticket emessi da Kerberos hanno una durata limitata (ad esempio 12 ore, sebbene sia configurabile) e hanno anche un limite nel numero di volte che possono essere rinnovati (che può essere configurato nel KDC). Ecco le impostazioni tipiche in Active Directory . Un segreto compromesso avrebbe un effetto limitato, nel corso della vita dei biglietti emessi esistenti.
Al contrario, PKI è inteso per un uso più distribuito, in cui clienti e servizi non devono contattare la CA ogni volta che uno dei suoi certificati lo utilizza; il controllo della revoca dei certificati in una PKI (tramite CRL o OCSP) tende ad essere un passaggio facoltativo. Non tutti i clienti lo fanno. Il certificato tende anche ad avere una durata maggiore (in genere uno o due anni), il che significherebbe che un client che non riesce a verificare la revoca considererebbe comunque un certificato compromesso come valido per un periodo di tempo molto più lungo.