为了安全地打印OTP Scratchcard，我有什么选择？

Question

我想打印和分发几个一次性密码(OTP)，不能轻易地透露给第三方在传输。(考虑一下TLS会话的物理版本，用于私人机密)

对我来说，这意味着我需要一份非电子的密码列表，这些密码是由物理手段保护的，比如安全的信封或镀银的。

• 在打印和分发这些OTP给最终用户方面，我有什么选择？

首先想到的选择之一是让一家像BABN/Oberthur Technolgies这样的公司用类似于他们打印彩票的方式来打印它，但是他们只对大量发行感兴趣。

根据我在彩票行业的经验，银质镀膜有很多技术，而且往往有好几层墨水和图案放在一起。即使这样，一些油墨分层技术也比其他的更好。

• 对于OTP密码来说，什么“刮掉”技术足够安全？我该避免什么？

作为银涂层的替代物，也许可以使用穿孔的信封。ADP以其安全的打印设施(用于支票)而闻名，这使得很难查看其篡改的明显信封的内容。同样，他们也不从事向最终用户分发OTP令牌的小批量业务。

• 是否有任何内部或外包的机会？
• 我应该看一下w.r.t的其他物理特征。OTP密码列表(防水等)

Answer 1

篡改-明显的系统(如你所唤起的抓取技术)并不完全是你想要的OTP。这些技术所提供的是一种方法，以确保事后信息没有被披露。如果你看到这张卡，它还没有被刮伤，那么你就知道OTP仍然是“安全的”，没有被任何人使用过。OTP情况下的安全好处最多是间接的:这意味着当预期的OTP用户发现卡已经被刮伤时，最终会发现OTP的被盗--也就是说，如果他找到了该卡。攻击者可以简单地盗取卡片，抓取它，使用OTP，然后将卡片扔进河里。

您想要的OTP是用户会发现在使用之前很容易保持安全(物理)的东西。使用信用卡大小的设备是个好主意:对大多数用户来说，最安全的存储系统是他们的钱包。但是，让它们“容易被抓”并没有什么好处。

对于OTP列表，您希望用户可以轻松地“勾选”使用密码。这可能是一种“撕掉”；毕竟，一旦使用，OTP对每个人都是无用的，并且可以在没有任何照顾的情况下(除了生态)被处理。你可以想象一小堆贴纸，每张纸条上都印着自己的OTP。

Answer 2

“几个”是什么意思？

如果您想分发数千张OTP卡，那么刮擦可能是一种方法。

用户需要多久进行一次身份验证？您的抓取卡将只能携带大约100个otp值。

如果您只想分发几十个，我会推荐这样的OTP显示卡从智能显示器。我想，从一张带有显示屏和按钮的信用卡的大小来看，一个100用户/卡的徽章是最好的，也是最便宜的。任何像样的后端(如私处 )都应该能够处理这些卡。卡可以在后端被停用，因此只有当用户确认收到卡时才能使用它们。

在许多国家，银行使用带有穿孔信封的TAN列表。但我从不喜欢银行业的低安全性;-)

再说一次-我想这在很大程度上取决于

1. 您需要注册的用户数量以及
2. 他们应该使用OTP多长时间。