至少能记住最近1次用过的

问题是用户按出新的密码了，如果临时不需要或忘了使用，后台怎么知道用户跳过了几个密码？卡也不知道上一次的密码是不是真的被服务器收到了。
因为卡和服务器显然是没有通信的，唯一的同步方式是次数或时间

如果是靠时间同步，则服务器也无须记录用过的密码——但是要求卡的时钟要非常精确：1年只能差几秒——卡上好像没有对时的机制

如果靠次数同步，则服务器要至少能记住最近1次用过的，而且能主动预测以后几次的密码（因为用户可能按出新的密码了，但临时不需要或忘了使用）