Quali sono le opzioni per stampare in modo sicuro un OTP Scratchcard?

2

Desidero stampare e distribuire più OTP (One Time Passwords) che non possono essere facilmente divulgate a terzi in transito. ( pensa alla versione fisica di una sessione TLS per i segreti privati )

Per me significa che ho bisogno di un elenco di password non elettronico protetto da un mezzo fisico come una busta sicura o un rivestimento argentato.

  • Quali sono le mie opzioni per quanto riguarda la stampa e la distribuzione di questi OTP agli utenti finali?

Una delle prime opzioni che mi viene in mente è che un'azienda come BABN / Oberthur Technolgies lo stampi con un graffio simile a come stampano i biglietti della lotteria, tuttavia sono interessati solo alle distribuzioni di volumi elevati.

Sullabasedellamiaesperienzanelsettoredeibigliettidellalotteria,c'èmoltatecnologiachevanelrivestimentoargentato,espessocisonodiversistratidiinchiostroedisegnisovrapposti.Eancheconquesto,alcunetecnichedistratificazionedell'inchiostrosonomiglioridialtre.

  • Qualetecnologia"gratta" è sufficientemente sicura per una password OTP? Cosa dovrei evitare?

In alternativa al rivestimento argentato, potrebbe essere possibile utilizzare una busta perforata. ADP è ben noto per le loro strutture di stampa sicure (per i controlli) che rendono difficile l'impossibilità di visualizzare il contenuto di una delle loro buste anti-manomissione. Ancora una volta, non sono nel business della distribuzione di token OTP agli utenti finali in piccoli volumi.

  • Sono disponibili opportunità interne o esternalizzate?
  • Quali altre caratteristiche fisiche dovrei dare un'occhiata a w.r.t. una lista di password OTP (impermeabile, ecc.)
posta random65537 01.02.2013 - 18:28
fonte

2 risposte

1

I sistemi a prova di manomissione (come la tecnologia di scratching che si evoca) non sono esattamente ciò che si desidera per un OTP. Ciò che questa tecnologia offre è un modo per garantire a posteriori che le informazioni non siano state divulgate. Se vedi la carta ed è ancora non graffiata, allora sai che l'OTP è ancora "sicuro" e non è stato usato da nessuno. Il vantaggio di sicurezza per una situazione OTP è indiretto nel migliore dei casi: significa che il furto di un OTP verrà scoperto alla fine quando l'utente OTP previsto trova la carta già graffiata - cioè, se trova il carta. L'attaccante potrebbe semplicemente rimuovere la carta, grattarla, usare l'OTP, quindi lanciare la carta in un fiume.

Quello che vuoi per OTP è qualcosa che gli utenti troveranno facile da proteggere (fisicamente) fino al momento dell'utilizzo. Utilizzare dispositivi di dimensioni di una carta di credito è una buona idea: il sistema di archiviazione più sicuro disponibile per la maggior parte degli utenti è il loro portafoglio. Ma non c'è molto da guadagnare rendendoli "scratchable".

Per un elenco OTP, vuoi qualcosa in cui gli utenti possono facilmente "spuntare" usa le password. Questo potrebbe essere un "strappo"; dopotutto, una volta utilizzato, un OTP è inutile per tutti e può essere smaltito senza alcuna cura (tranne ecologico). Potresti immaginare una piccola pila di note adesive, ognuna con il proprio OTP stampato su di essa.

    
risposta data 01.02.2013 - 19:09
fonte
-1

Che cosa significa "diversi"?

Se vuoi distribuire diverse migliaia di carte OTP, la cosa da grattare potrebbe essere un modo per andare.

Con quale frequenza gli utenti devono autenticarsi? Il tuo gratta e vinci sarà in grado di trasportare solo 100 valori otp.

Se si desidera distribuire solo diverse dozzine, consiglierei la scheda di visualizzazione OTP come quella di smartdisplayer. Immagino che fino a un badge di 100 utenti / carte, distribuendo le carte display, dalle dimensioni di una carta di credito con un display e un pulsante sarebbe il modo migliore e più economico per andare. Qualsiasi backend decente come privacyidea dovrebbe essere in grado di lavorare con quelle carte. Le carte possono essere disattivate nel back-end, in modo che possano essere utilizzate solo quando l'utente conferma la ricezione della carta.

In molti paesi le banche utilizzavano elenchi TAN con una busta perforata. Ma non mi è mai piaciuta la bassa sicurezza dell'area bancaria; -)

Ancora una volta - Penso che dipenda molto da

  1. la quantità di utenti che devi registrare e
  2. per quanto tempo devono utilizzare OTP.
risposta data 18.08.2014 - 18:35
fonte

Leggi altre domande sui tag