¿Cuáles son mis opciones para imprimir de forma segura una OTP Scratchcard?

Navega tus respuestas
2

Quiero imprimir y distribuir varias contraseñas de un solo uso (OTP) que no se pueden revelar fácilmente a un tercero en tránsito. ( piense en la versión física de una sesión TLS para secretos privados )

Para mí, eso significa que necesito una lista no electrónica de contraseñas que están protegidas por medios físicos, como un sobre seguro o un revestimiento plateado.

  • ¿Cuáles son mis opciones en cuanto a la impresión y la distribución de estas OTP a los usuarios finales?

Una de las primeras opciones que me vienen a la mente es hacer que una empresa como BABN / Oberthur Technolgies imprima esto con un rasguño similar a la forma en que imprimen los billetes de lotería, sin embargo, solo están interesados en las distribuciones de gran volumen.

Basándomeenmiexperienciaenlaindustriadelosbilletesdelotería,hayunagrancantidaddetecnologíaqueseaplicaalrecubrimientoplateadoy,amenudo,hayvariascapasdetintaypatronescolocadosunoencimadelotro.Einclusoconesto,algunastécnicasdecapasdetintasonmejoresqueotras.

  • ¿Quétecnología"scratch off" es lo suficientemente segura para una contraseña OTP? ¿Qué debo evitar?

Como alternativa al recubrimiento de plata, quizás se podría usar un sobre perforado. ADP es bien conocido por sus instalaciones de impresión seguras (para cheques) que hacen que sea difícil o imposible ver el contenido de uno de sus sobres a prueba de manipulaciones. Nuevamente, no están en el negocio de distribuir tokens OTP a usuarios finales en pequeños volúmenes.

  • ¿Hay oportunidades internas o externas disponibles?
  • ¿Qué otras características físicas debo ver en w.r.t. una lista de contraseñas OTP (a prueba de agua, etc.)
pregunta random65537 01.02.2013 - 18:28
fuente

2 respuestas

1

Los sistemas a prueba de manipulaciones (como la tecnología de rascado que evocas) no son exactamente lo que quieres para una OTP. Lo que esta tecnología ofrece es una forma de asegurarse a posteriori de que la información no fue divulgada. Si ve la tarjeta y aún no tiene rastros, sabrá que la OTP sigue siendo "segura" y nadie la ha utilizado. El beneficio de seguridad para una situación de OTP es, en el mejor de los casos, indirecto: significa que el robo de una OTP se descubrirá finalmente cuando el usuario de OTP deseado encuentre que la tarjeta ya está rayada, es decir, si encuentra el tarjeta. El atacante podría simplemente robar la tarjeta, rascarla, usar la OTP y luego lanzar la tarjeta a un río.

Lo que desea para OTP es algo que los usuarios encontrarán fácil de mantener (físicamente) seguro hasta el momento del uso. Usar dispositivos del tamaño de una tarjeta de crédito es una buena idea: el sistema de almacenamiento más seguro que está disponible para la mayoría de los usuarios es su billetera. Pero no hay mucho que ganar al hacerlos "rascables".

Para una lista de OTP, desea algo donde los usuarios puedan "marcar" fácilmente las contraseñas. Esto podría ser una "rotura"; después de todo, una vez que se usa, una OTP es inútil para todos y puede eliminarse sin ningún tipo de cuidado (excepto el ecológico). Podrías imaginarte una pequeña pila de notas adhesivas, cada una con su propia OTP impresa.

    
respondido por el Thomas Pornin 01.02.2013 - 19:09
fuente
-1

¿Qué significa "varios"?

Si desea distribuir varios miles de tarjetas OTP, la opción de rascarse podría ser una manera de proceder.

¿Con qué frecuencia deberán autenticarse los usuarios? Su tarjeta de rascar solo podrá llevar alrededor de 100 valores de otp.

Si solo desea distribuir varias docenas, recomendaría una tarjeta de visualización OTP como esta desde smartdisplayer. Supongo que hasta una tarjeta de identificación de 100 usuarios / tarjetas, distribuir tarjetas de presentación, del tamaño de una tarjeta de crédito con una pantalla y un botón, sería la mejor y la más económica. Cualquier backend decente como privacyidea debería poder trabajar con esas tarjetas. Las tarjetas se pueden desactivar en el backend, de modo que solo se pueden usar cuando el usuario confirma la recepción de la tarjeta.

En muchos países, los bancos utilizaban listas TAN con un sobre perforado. Pero nunca me gustó la baja seguridad del área bancaria ;-)

De nuevo, creo que depende mucho de

  1. la cantidad de usuarios que necesita para inscribirse y
  2. cuánto tiempo se supone que deben usar OTP.
respondido por el cornelinux 18.08.2014 - 18:35
fuente

Lea otras preguntas en las etiquetas

Técnicas de paralelización de Snort y su efecto en la capacidad de detección de DDOS [cerrado] ¿Es una mala idea para un titular de información enviar un correo electrónico a un usuario con su contraseña?