虽然你所说的有些道理，但你必须放眼大局，看看银行的负债和风险在哪里。银行希望将风险降低到一定程度（例如，银行接受欺诈偏好，试图进一步降低成本，但很快变得不可行），其中许多驱动因素与用户体验要求相冲突.

此外，技术要求是银行风险状况和偏好的重要组成部分。所以这也会导致取舍。

允许用户设备存储凭据可能是攻击者获得比当前网络钓鱼成功率更容易访问的一种方式，因此除非您有一套严格执行的所有密码管理器工作的标准，否则也可以由银行，您可能会提高安全性，但可能会降低安全性。

对于那里的银行来说，最糟糕的情况是安全性降低，客户账户受到攻击，银行要为此承担责任。

因此，对于大多数客户和整个银行而言，通常认为让客户有责任控制他们的凭据会更好，而对于某些客户来说，情况会更糟。对于这些客户，他们可以通过意识培训来提高安全性。

银行有真正的金钱损失，其中很大一部分来自未经授权的银行账户访问，因此他们有经济激励措施，通过将密码存储在当地网吧/图书馆/等的浏览器中，使用户更难丢失密码。

银行通常是非常大的官僚组织，由人们制定的政策驱动，这些政策是善意的，但不能很好地应对不断变化的威胁。

网络钓鱼攻击是否比密码被盗的受损机器更糟糕？我不确定，但这是一个有效的讨论。将密码保存在本地很容易理解，并且多年来人们一直被建议“不要在纸上写下您的密码”（即使在具有不同威胁的网络世界中这可能是糟糕的建议）。网络钓鱼更难理解，银行可能会认为责任存在于客户身上，因为他们“做了某事”，而计算机入侵则更难锁定客户。

如果银行真的深入考虑安全性，他们会像 GMail 那样提供 2 因素身份验证。这是一项微不足道的练习，但到目前为止，我只看到一家银行提供此服务。由于大多数银行不提供此功能，我只能推测他们没有非常老练的人愿意推动更高级别的安全性，并考虑针对他们的威胁模型。