Target的大規模數據泄露事件有一個好處就是讓人們認識到，即便是最強大的安全系統也有可能被黑客侵入。大家都認為，Target是一個典型的多層系統，其防御能力超過了Visa和MasterCard已經非常嚴苛的保障措施要求。但不管怎么說，黑客還是成功侵入，這立刻引發了人們對于美國信用卡交易為何如此不安全的強烈抗議，并呼吁使用不需要通過讀卡器進行“刷卡”這種物理接觸的非接觸式卡片。為平息這種抗議，Visa、MasterCard和American Express一直堅持要求零售商必須在2015年10月之前裝上智能卡讀卡器，否則遭受欺詐損失的責任將完全由他們承擔。

　　畢竟自1983年以來，智能卡（帶嵌入式IC的卡片，包含加密信息和安全處理能力，但仍需要接觸式刷卡）已在發達國家廣泛使用，并大大減少了盜竊行為。美國走到這一步用了那么長的時間，盡管2013年的欺詐行為使零售商和銀行損失超過了120億美元，但與更新零售POS系統的成本和復雜性相比，它的成本顯然更低。但是Target的被黑打開了潘多拉的盒子，即使這些卡片本身不是攻擊Target的工具，而且獲得的信息也可能是使用128位密碼加密的（因此對黑客毫無用處），采用更先進支付技術的趨勢也已經不可阻擋。

　　不過隨著技術的發展，即使向廣泛使用智能卡邁出了一大步，也不會將零售業帶入21世紀。如今的標準是采用無線通信的非接觸式智能卡，不需要在卡片和讀卡器之間進行物理接觸的“刷卡”，而基于智能手機的近場通信（NFC）技術，也完全消除了對實體卡片的需要。但在Target被侵入一事的憤怒中很少有人提到一個關鍵事實，那就是卡片本身并沒有問題。

　　問題不在卡片

　　對Target實施攻擊的不法分子通過在Target商店的POS終端上安裝惡意軟件，使用“內存抓取”工具來抓取交易過程中終端臨時存儲的數據。不過這個惡意軟件是通過Target公司的Web服務器安裝到該公司的終端，因為該服務器可以向黑客授予對Target公司終端的訪問權。一旦安裝到終端上，這些惡意軟件就會在Target公司的網絡上建立起自己的控制服務器，將所有盜來的數據存儲在Target公司自己的數據存儲庫中，直到黑客將其卸載。

　　在Target公司用來掃描網絡中惡意軟件的40多個防病毒工具中，沒有一個發現它，或者在發現之后認為它是惡意的。這款名為BlackPOS的軟件可以在網絡犯罪論壇上以大約2000美元的價格買到，專為繞過防火墻在POS終端上安裝而設計。因此，簡單來說，竊賊是從“后端”而不是前端的POS終端進入，企業服務器才是進入點，而不是POS終端。

　　所有的POS終端都會收集數據，無論是否需要接觸式刷卡。問題是：是什么使得非接觸式卡比標準卡更安全？它們是否會對信用卡盜竊造成很大影響？對于Target這種系統來說，可能不會有多大影響，但對于大多數更常見的終端盜竊來說，這肯定是對當前系統的一個重大改進，因為針對終端本身的盜竊要頻繁得多。為了說明美國在支付安全方面的狀況，我們來看一下當前可行的磁條卡替代品—智能卡、非接觸式卡、近場通信以及與前面三個都不同的RFID。

　　不太智能的選項

　　在無源RFID系統（最常見的類型）中，讀卡器發射一個微弱的信號，該信號由卡上的環形天線（圖1）捕獲，經過校正，使用產生的微小功率來響應讀卡器的查詢并進行身份識別。控制系統將身份代碼與數據庫中的信息進行匹配以進行身份驗證。在這方面，RFID和非接觸式支付有兩個基本共同點：它們都使用無線技術，不需要POS讀取設備和被讀取目標之間有物理連接，并結合IC和存儲器用于數據存儲。但它們的相似之處也就到此為止，更多的則是不同之處，例如：

　　無源RFID標簽非常便宜（通常不到10美分），因此非常適合大規模跟蹤任何可以放置或插入RFID標簽的東西。有源RFID標簽內裝有電池，因此可以發送突發信號，但成本要高得多，應用范圍不廣。

　　RFID標簽幾乎沒有“智商”，而接觸式和非接觸式“智能”卡都具有重要的安全功能，包括安全微處理器、存儲器和密碼處理功能。

　　RFID標簽與讀卡器之間的距離可以在約15cm（無源）甚至192m（有源），而出于安全考慮，非接觸式卡只能從大約0.6m的距離處被讀取。

　　圖1：RFID標簽使用的組件最少，其中最大的組件是從讀卡器捕捉微弱信號的環形天線

　　RFID已經自然發展成為一種應用技術，在這些應用中，RFID的力量使其更具優勢，比如包含持有人照片的護照就屬于這種應用。在2005年，沃爾瑪啟動了一個計劃，要求其前100名供應商將RFID標簽貼在運往其配送中心的貨物箱子和托盤上，后來這個計劃又擴展到了所有供應商。該公司的報告稱，貼上了RFID標簽的缺貨商品的補貨速度比該計劃實施前快了三倍。美國國防部和其他許多公司也跟著采取了同樣的措施，如今，無源RFID技術在許多行業都得到了廣泛應用。

　　簡單來說，雖然RFID系統在跟蹤型應用中已遍地開花，但由于不夠智能且安全功能有限，因此除了少數情況外，它們一般還無法用于交易處理。

　　智能卡

　　在這里必須要提一下智能卡（圖2），因為它是最先被設計用于交易處理的卡片，以克服“啞”磁條卡的安全限制。智能卡提供重要的安全功能，包括使用對稱DES（數據加密標準）、3DES（三重DES）或公鑰RSA加密技術（密鑰長度高達1024位）的主動加密身份驗證。

　　圖2：顯示訪問內部電子設備的聯系人的通用智能卡

　　智能卡采用包含存儲器和微處理器的嵌入式IC，其八個外露的金屬墊端接直流電源、POS讀卡器的再處理、時鐘信號、接地和串行I/O。板載處理器（目前通常是一個32位RISC處理器，運行頻率最高達32MHz）執行指令，而控制器管理進出卡片和讀卡器的數據流。智能卡還包含三種類型的存儲器：用于永久存儲指令的ROM、用于臨時存儲的RAM，以及用于運行應用程序的E-PROM。

　　非接觸式卡

　　非接觸式卡保留了上述智能卡的組件和安全功能，不過它用類似于RFID中的射頻功能取代了智能卡的電氣觸點，并且它不需要與POS讀卡器進行物理接觸。另外它還通過以下舉措提升了安全性：不需要每次交易都輸入PIN，但在一定數量的交易后，讀卡器會要求用戶輸入PIN來維護安全性。

　　每筆交易的金額也有限度，目前這個限額相當低。1995年，非接觸式卡首次在韓國用于電子票務，美國的許多人可能還記得Exxon（埃克森美孚）在20世紀90年代末部署的Speedpass（快速通行）系統，現在仍有許多Exxon加油站在使用。此后，MasterCard（萬事達卡）、Citibank（花旗銀行）、JPMorgan Chas（摩根大通）、American Express（美國運通）和許多其他組織都開始采用非接觸式技術。目前使用非接觸式技術的系統包括Visa的PayWave、American Express的ExpressPay和MasterCard的PayPass系統。