问为什么英国的大多数银行不使用2FA呢？

EN

在某些情况下，他们确实使用2FA，但只用于“高风险”交易。例如，当我设置一个新的常规订单或向一个我以前没有支付过的帐户付款时，我的银行要求我使用一个由微型读卡器生成的2FA代码，即使它们不需要我登录和查看数据的代码，也不需要向我以前支付过的帐户付款。

这可能是一种平衡可用性和安全性的尝试--使“公共”操作相对没有摩擦，同时很难将资金转移给攻击者(除非您已经向攻击者支付了合理的费用)。它当然可以用来给人们带来不便(进入我账户的攻击者可以将所有资金送到那里，例如，我的供电商，因为我以前向他们付款过，这可能会让他们很痛苦，但要让他们直接受益会很棘手。)

但这并不是一种普遍的情况--有些允许您使用生成的代码登录，另一些则需要所有事务的2FA，另一些则根本不支持它。

为了方便。

有很多人实际上无法使用这个系统。甚至更多的经历一开始就有很大的麻烦。

用户和密码对每个人来说都要简单得多。它需要2/3的东西:用户，通过(有时检查)。

大多数银行使用的2FA都是这样的:您有一个ID，用于登录(1)。作为密码，您可以使用已知的PIN (3)通过令牌(2)或电话生成它。您使用生成的内容登录(4)。在事务时，您得到一个事务代码(5)，然后使用在令牌(6)中使用的代码生成一个新的通行证代码(7)，并将其输入到事务表(8)上。

对于那些以前从未使用过它的人来说，在这个问题上没有一般的经验，这几乎是不可能被使用的，并且确实需要一些时间去适应。

就我个人而言，我会随时接受密码，因为我设计得很好。

巴克莱银行需要一个来自信用卡阅读器的代码来登录，另一个用于支付给新客户的代码，所以有些银行拥有更好的安全性。

IIRC TSB负责对新目的地的付款进行电话验证。

下拉式第二个密码是为了击败简单的键盘记录器，否则可能会记录用户名和密码(可能还有触发捕获的URL )。更有效的伐木者也会记录截图。通过只要求两个字符，他们也阻止了一个单一的录音获得所有的答案。