您的銀行給您的是帶有數字證書（類似）的 USB安全令牌。這些是標準化硬件設備，幾乎每個操作系統都支持開箱即用的plug&play。它們對於在企業IT中實現對高安全性系統的多因素身份驗證非常常見。

您的網絡瀏覽器使用HTTPS和基於客戶端的證書來訪問銀行的網站。它使用您的操作系統證書庫查找與Web服務器請求的身份匹配的已安裝證書。當您安裝了標準USB安全令牌時，操作系統還將在令牌上查找任何證書。

由於令牌不允許直接讀取存儲在其上的證書的私鑰，因此操作系統無法單獨通過Web服務器執行驗證過程。令牌包括執行驗證的硬件。因此，私鑰永遠不會離開USB記憶棒。這意味著即使您的PC受到惡意軟件的侵害，證書的私鑰也不會有被盜的危險（但請記住，身份驗證成功後，此方法無法提供任何保護。惡意軟件仍會破壞您的網絡瀏覽器）。

順便說一句：那是哪家銀行？如果我的銀行也支持這種身份驗證方法，我什至可以開始進行網上銀行業務。

一種可行的方法是Chrome支持不帶插件的FIDO U2F。鑑於Chrome現在是最受歡迎的瀏覽器，並且Chrome可以在Windows，Mac和Linux上運行，因此宣稱“它可以在具有USB端口的任何設備，Windows，Mac，Linux等設備上運行，並且開箱即用”。

他們是否聲稱它可以在任何瀏覽器或任何操作系統上正常工作？

....它們不需要用戶在計算機上安裝任何軟件...。我認為，網頁在沒有用戶操作的情況下自由瀏覽文件系統的能力通常受到以下因素的限制：是

是的，沒有智能卡驅動程序絕對不可能。這是任何瀏覽器的基本安全機制。這提供了無需單擊“打開文件”即可讀取證書的clou。對話框，Java對話框還是預安裝驅動程序？您說您選擇了另一個驗證選項。

這聽起來像是中國銀行使用的USB密鑰。 此處描述了這種技術。

據說與“具有USB端口的任何設備”兼容

具有PKCS＃11證書或＃12與密碼短語結合使用將在所有OS上工作。這與keepass工作的密碼管理器的工作方式相同，將您知道的內容與必須獲得2個身份驗證因素結合在一起。

它可能只是一個USB智能卡讀卡器，其中插入了SIM卡大小的智能卡。

不需要手動安裝驅動程序，因為在大多數現代操作系統中至少已經安裝了用於讀卡器和卡的通用驅動程序。

請參見下圖以獲取此類設備的示例：

讀取器內部的SIM卡上存儲著帶有私鑰的證書。當您將其插入計算機時，智能卡中的證書將被加載到OS證書存儲中。從那裡開始，它的行為基本上與保存在計算機上的任何其他證書一樣，可用於訪問受保護的資源，對文檔/郵件進行簽名，對內容進行加密等。

此證書尤其由Cert頒發我的銀行（網絡銀行）和州政府信任的授權機構（我通常將其用於IRS相關資料和請求真實文件）。

最有可能偽裝成鍵盤的設備，因此不需要特殊驅動程序就可以被任何OS識別。在內部，它可能會使用HOTP（或者，如果有RTC芯片和電池，則是TOTP），並且每次按下按鈕時都“鍵入” OTP，例如 Yubikey或類似的U2F設備。

瀏覽器不說話，也不知道那裡有USB。它只是指示用戶按下設備上的物理按鈕（告訴設備“鍵入”代碼，因為瀏覽器本身無法與之對話），然後解釋任何擊鍵（直到代碼長度）它接收來自設備的信息。

聽起來像我十年前的理論想法。

幾乎每個操作系統都支持USB網絡設備。您的USB記憶棒可能假裝為網卡，已連接到本地網絡，並且該網絡上也有Web服務器。該Web服務器也可以具有HTTPS證書。

您的Web瀏覽器可以向該Web服務器發出HTTPS請求，並發現USB記憶棒和銀行網站相互信任。這不被認為是沙盒逃逸，因為瀏覽器和操作系統都不知道Web服務器實際上在USB記憶棒上。

IP警告：據我所知，我的前任雇主擁有一項專利在大多數司法管轄區都採用這種想法。複製此想法之前，請聯繫專利律師。

正如其他一些答案所述，這很可能是USB安全令牌。可以將其視為智能卡讀取器+嵌入式智能卡（有時實際上是通過這種方式實現的）。想想美國國防組織使用的 CAC卡。想想PGP卡。某些Yubikey型號還支持充當智能卡。

這種設備在中國的銀行中廣泛用於保護其在線銀行網站/桌面客戶端軟件，我的回答主要取決於我的個人經驗在中國使用這些令牌。

您如何使用它？

當您註冊網上銀行並選擇USB令牌時，銀行會為您提供令牌，並創建一個公共/私鑰對和您的個人證書，然後將它們加載到令牌中。您在令牌上設置了密碼，該密碼與您的網上銀行登錄密碼分開。

您在個人計算機上安裝了銀行提供的驅動程序，插入了令牌，然後導航到銀行的網站。每當您登錄或執行敏感操作（轉賬，更改聯繫信息，授權在線購買等）時，瀏覽器/操作系統都會提示您輸入令牌密碼，令牌上的指示燈會閃爍幾秒鐘，然後進行交易

等待，我必須安裝驅動程序嗎？

是。 Windows操作系統具有標準的智能卡接口，但是每種型號的USB令牌仍然需要驅動程序。 Windows Update很少會為您安裝正確的驅動程序，但在大多數情況下，您將不得不從銀行的網站下載軟件包。

通常唯一受支持的操作系統是Windows，並且是唯一受支持的瀏覽器是IE。 （他們喜歡它們一些ActiveX。）通常，智能卡/ USB令牌肯定有可能支持其他OS /瀏覽器，請參見上面的CAC卡。您必須檢查與您自己的銀行的兼容性。

那麼它如何驗證您的身份？

瀏覽器要求操作系統要求令牌對一小段數據進行簽名（也許是您的交易詳細信息）。令牌使用您的私鑰和證書對其進行簽名。瀏覽器將簽名發送到銀行。銀行驗證簽名，並感到滿意的是，只有他們給您的令牌具有用於生成此簽名的私鑰。

私鑰永遠不會離開令牌。如果設計正確，則令牌永遠不應洩露私鑰。

首先，讓我指出，我對一名非技術人員的說法表示懷疑，該說法是，該技術可在“具有USB端口的任何設備”上運行，而不管瀏覽器或操作系統如何。如果支持的操作系統只是幾個Windows版本（也許還有MacOS），我也不會感到驚訝。但是，思考這樣的設備如何工作很有趣。

大多數不需要驅動程序的解決方案（例如usb鍵盤的AndréBorie建議）將需要一些額外的接口（例如硬件按鈕）。

不過，user2720406的帖子為我提供了一個對於在任何具有USB端口的[打開的]設備上確實可以在某些地方使用的設備的想法：

USB設備僅包含一個 SIM卡，即可使用它通過GPRS / 3G自行訪問Internet。然後，該設備將簡單地發送數字簽名的消息“帶有令牌12312121的客戶正在使用在線銀行”。除非最近5分鐘內收到在線會話，否則不允許在線會話（可能還有其他因素，例如客戶的IP與設備的IP地址具有相似的地理位置）。因此，usb端口僅用於供電，並且設備完全獨立於計算機上安裝的設備。

這聽起來像Yubikey。它們是眾所周知的，並且效果很好。 https://www.yubico.com/products/yubikey-hardware/yubikey4/

• 關於不需要驅動程序： Yubikey會將自己標識為鍵盤，因此任何具有鍵盤驅動程序的計算機都可以讀取其中的文本。
• 工作原理：按下按鈕，Yubikey會發布一個公共密鑰（來自嵌入的安全私鑰）在設備中）。然後，銀行可以對您進行身份驗證，並確認您擁有您知道的東西（您的密碼）和您擁有的東西（您的物理安全私鑰）。

• 為什麼安全：計算機上的軟件無法使用來訪問您的私鑰，以便惡意軟件無法複製該密鑰並假裝為您。它必須從您的身體上被盜。 （這是可能的，但這就是為什麼您將其與您知道的東西配對）

• 誰使用它們以及原因：Google幫助設計了yubikey，以便他們可以解決用戶不在時，計算機將獲取本地憑據。每個Google工程師都有一個。我使用它們已有多年了，並在它們周圍部署了許多2fa解決方案。