在某些情况下，他们确实使用 2FA，但仅用于“高风险”交易。例如，当我设置新的长期订单或向我以前未支付过的账户付款时，我的银行要求我使用由迷你读卡器生成的 2FA 代码，即使他们不需要代码让我登录和查看数据，也不向我之前支付的帐户付款。

这可能是一种平衡可用性和安全性的尝试——使“常见”操作相对无摩擦，同时难以将资金转移给攻击者（除非你已经合法地支付给攻击者）。它当然可以用来给人们带来不便（进入我帐户的攻击者可以将那里的所有资金发送给例如我的电力供应商，因为我之前已经向他们付款，这将是一个痛苦的解开，但是他们很难直接受益。

虽然这不是一个普遍的情况 - 有些让您使用生成的代码登录，有些需要 2FA 进行所有交易，有些则根本不支持。

为了方便。

有很多人实际上无法使用这个系统。更有经验的人最初遇到了大麻烦。

用户和密码对每个人来说都更容易。它需要 2/3 的东西：用户，通过（有时检查）。

大多数银行使用的 2FA 行为如下：您有一个 ID，用于登录 (1)。作为密码，您可以通过令牌 (2) 或电话使用您已知的 PIN (3) 生成它。您使用生成的内容登录 (4)。在交易时，您将获得一个交易代码 (5)，然后使用您的令牌 (6) 中使用的代码，您生成一个新的密码 (7)，您将其输入到交易表 (8) 上。

对于以前从未使用过此功能且对此没有一般经验的人来说，使用它几乎是不可能的，并且确实需要一些时间来适应。

就个人而言，我会随时使用密码，因为我设计得很好。

巴克莱银行需要读卡器的密码才能登录，而向新客户付款时需要使用不同的密码，因此有些银行的安全性更高。

IIRC TSB 对新目的地的付款进行电话验证。

下拉的第二个密码是为了打败简单的键盘记录器，否则它可能会记录用户名和密码（以及可能触发捕获的 URL）。更有效的记录器还会记录屏幕截图。通过仅询问 2 个字符，他们还可以防止单个录音获得所有答案。