您的银行给您的是带有数字证书的USB 安全令牌（例如这些）。这些是标准化的硬件设备，几乎每个操作系统都支持即插即用。它们在企业 IT 中对高安全性系统实施多因素身份验证非常常见。

您的网络浏览器使用 HTTPS 和基于客户端的证书来访问您银行的网站。它使用您的操作系统证书存储来查找与网络服务器请求的身份匹配的已安装证书。当您安装了标准 USB 安全令牌时，操作系统还将在令牌上查找任何证书。

操作系统不能自己与网络服务器进行验证过程，因为令牌不允许直接读取存储在其上的证书的私钥。令牌包括进行验证的硬件。所以私钥永远不会离开 U 盘。这意味着即使您的 PC 受到恶意软件的攻击，证书的私钥也不会有被盗的危险（但请记住，此方法在身份验证成功后不提供任何保护。恶意软件仍然可以搞砸您的网络浏览器）。

顺便问一句：那是哪家银行？如果我的银行也支持这种身份验证方法，我什至可能会开始做网上银行。

一种可行的方法是 Chrome 支持不带插件的 FIDO U2F。鉴于现在 Chrome 是现在最流行的浏览器，并且 Chrome 可以在 Windows、Mac 和 Linux 上运行，因此声称“它可以在任何具有 USB 端口、Windows、Mac、Linux 等的设备上运行，并且开箱即用”。

他们是否声称它适用于任何浏览器或任何操作系统？

....他们不需要用户在机器上安装任何软件....我认为网页在没有用户操作的情况下自由浏览文件系统的能力在默认情况下通常受到限制

是的，如果没有智能卡驱动程序，这绝对是不可能的。这是任何浏览器的基本安全机制。是什么让 clou 在不单击“打开文件”对话框、Java 对话框或预安装驱动程序的情况下读取证书？您说您选择了另一个验证选项。

这听起来像是中国银行使用的 USB 密钥。此处描述了此类技术。

据说与“任何具有 USB 端口的设备”兼容

拥有 PKCS#11 证书或 #12 与密码短语结合将适用于所有操作系统。这与 keepass 等密码管理器的工作方式相同，将您知道的内容与您必须获得的 2 个身份验证因素结合起来。

它可能只是一个 USB 智能卡读卡器，插入了 SIM 大小的智能卡。

不需要手动安装驱动程序，因为大多数现代操作系统中至少已经安装了读卡器和卡的通用驱动程序。

有关此类设备的示例，请参见下图：

带有私钥的证书存储在读卡器内的 SIM 智能卡上。当您将其插入计算机时，智能卡中的证书将被加载到操作系统证书存储中。从那里开始，它的行为基本上就像保存在计算机上的任何其他证书一样，可用于访问安全资源、签署文档/邮件、加密内容等。

这一个特别是由我的银行（网络银行）和国家（我主要用于 IRS 相关的东西和请求真实文件）信任的证书颁发机构颁发。