Lehet_ne_, valóban, de van egy kis bibi... Akár hard, akár soft tokened van, azt előtte "hozzá kell kapcsolni" valamilyen módon az adott ügyfélhez, amely folyamat azért annál picit bonyolultabb, mint az, hogy rögzíts egy mobilszámot a push és/vagy sms üzenetek fogadásához. De nem csak ez velük a gond: biometria jellemzően nincs, szoft token esetén össze lehet pakolni a 2FA két "lábát" egy eszközre (futhat a böngésző mellett ugyanazon a gépen), ami jóval könnyebben támadhatóvá tenné a megoldást (ha meg mobilra rakott szoft tokened van, akkor ahhoz ugyanúgy kell okosteló...)