2013年年底，美国零售巨头塔吉特(Target)被黑客入侵，7000万的用户个人信息和4000万的信用卡数据被盗，涉及用户名、电话号码和信息卡信息等隐私数据。据估计塔吉特的损失当前已达1.48亿美元，并最终可能达到10亿美元。

塔吉特“丢钱又丢人”的事件让人们认识到，即便是最强大的安全系统也可能被黑客攻击。塔吉特的账户是一个模型，多层次的系统，它的防御超过了Visa和万事达已经严格的安全措施所要求的。但黑客还是入侵了，这立即引发了人们的强烈抗议，人们质疑为什么美国的信用卡交易不够安全，并呼吁使用不需要通过读卡器进行物理“刷卡”的非接触式信用卡。多亏了这种强烈的抗议，Visa、万事达和美国运通已经坚定了立场:零售商必须在2015年10月之前投资于能够使用智能卡的读卡器。对于那些不这样做的人，欺诈损失的责任将完全由他们来承担。

毕竟，智能卡(内含包含加密信息和安全处理能力的芯片，但仍需联系)自1983年以来已在发达国家广泛使用，极大地减少了盗窃行为。在美国，欺诈花费了这么长时间才达到这个程度，尽管2013年，欺诈给零售商和银行造成了超过120亿美元的损失，但与更新零售网点(POS)系统的成本和复杂性相比，欺诈显然要便宜得多。

然而，随着技术的进步，如今的标准是采用无线通信的非接触式智能卡，不需要在卡和读卡器之间进行物理“刷卡”，而是基于智能手机的近场通信(NFC)技术完成。然而，塔吉特公司被攻破很少提到的一个关键事实:卡牌本身并不是问题所在。

到底谁来背这个锅

实施目标攻击的歹徒在目标商店的POS终端上安装恶意软件，使用“内存抓取”工具抓取终端在交易期间暂时存储的数据。然而，该恶意软件通过一个公司目标网络服务器到达终端，黑客可以通过该服务器访问公司终端。一旦舒适地安置在终端上，它就在塔吉特公司的网络上建立了自己的控制服务器，将所有窃取的数据存储在塔吉特公司自己的数据存储库中，直到黑客抽出时间卸载这些数据。

据报道，塔吉特使用40多个反病毒工具来扫描遍历其网络的恶意软件，结果没有发现一个恶意软件，即使发现，也不认为它是恶意的。这款名为BlackPOS的软件可以在网络犯罪论坛上花2000美元左右购买到，它是专门为绕过防火墙和安装在销售点终端而设计。简而言之，当小偷从“后端”而不是前面的POS终端进入时，公司服务器而不是POS终端成为了入侵点。

所有的POS终端都会收集数据，不管它们是需要你刷卡还是把卡放在离读卡器几英寸的地方。因此问题就来了:是什么使非接触式信用卡比普通信用卡更安全?在信用卡盗窃问题上，非接触式信用卡会有很大的不同吗?在塔吉特的案例中，可能不会，但这肯定是对当前系统的一个重大改进，针对终端机本身的大多数类型的盗窃要频繁得多。让我们回顾下当前可行的磁条替代方案——智能卡、非接触式卡、近场通信，以及与上述三种不同的RFID。

不太聪明卡都有哪些？

在最常见的类型——无源射频识别系统中，读卡器发送一个微弱的信号，这个信号被卡上的环形天线捕捉，经过校正后，产生的微小功率用于响应读卡器的查询并进行个人识别。控制系统将身份码与数据库中的信息进行匹配，以便进行身份验证。在这方面，RFID和非接触式支付有两个基本共同点:它们使用无线技术来消除POS读取设备和被读取物品之间的物理连接，并包含一个IC和内存来存储数据。然而，除了少数例外，相似之处也就这些了。

无源RFID标签非常便宜，通常不到一毛钱，因此非常适合对任何可以放置或插入RFID标签的东西进行大规模跟踪。然而，有源射频识别标签包含一个电池，它们可以发送突发信息，但价格要贵得多，因此不太广泛使用。

RFID标签并不是很“智能”，而接触卡和非接触“智能”卡都具有显著的安全特征，包括安全的微处理器、内存和加密处理能力。

RFID标签可以从大约6英寸的距离读取。被动方式到650英尺以上，而出于安全考虑，非接触式卡片只能从大约2英寸远的地方读取。

一个RFID标签需要使用最少的组件，其中最大的是从阅读器捕捉微弱信号的环形天线。

RFID的优势已经应用到众多领域，甚至包括包含个人头像的护照。2005年，沃尔玛要求其前100名供应商在运往配送中心的货物箱子和托盘上贴上RFID标签，该计划后来扩展到所有供应商。他们表示，使用RFID标记的缺货商品现在可以更快的进行补货。许多其他公司也采取了同样的做法，今天，被动射频识别被广泛应用于许多行业。

简而言之，虽然RFID系统在跟踪类应用中无处不在，但除了少数情况外，它们缺乏智能和提供安全的有限能力使它们无法在交易处理中使用。

智能卡

如果RFID不聪明，那就制造出一个智能卡。这是第一张为交易处理设计的卡片，目的是为了克服“哑”磁条卡的安全限制。智能卡提供重要的安全特性，包括使用对称DES(数据加密标准)、3DES (triple DES)或RSA公钥加密，密钥长度可达1024位的活动加密身份验证。

智能卡采用嵌入式IC，包含内存和微处理器。该设备有八个暴露的金属垫，可提供直流电源访问，处理POS阅读器，时钟信号，地面和串行I/O。板载处理器通常是32位的RISC处理器，最高可达32兆赫，它负责执行指令，控制器管理进出卡和阅读器的数据流。此外，它也包含三种类型的存储器:ROM为永久指令存储，RAM用于临时存储，电可擦写的只读存储器E-PROM用于运行应用程序。

非接触式卡

非接触卡保留了前面提到的智能卡组件和安全特性，但前者的电子触点被类似于RFID中使用的射频部分所取代，并消除了与POS读卡器的物理接触。你无须在每笔交易中输入密码，但到了一定数额，读卡器会要求输入密码，以确保安全。

每笔交易的金额也是有限的。非接触式卡于1995年在韩国首次用于电子票务，许多美国人可能还记得埃克森美孚在20世纪90年代末推出的Speedpass系统，该系统至今仍在许多埃克森美孚加油站使用。此后，非接触式技术已被万事达、花旗银行、摩根大通、美国运通和许多其他组织所采用。