FIDO2トークンは、パスワードなしの認証で2要素として機能しますか？

Fido2は単一要素または多要素にすることができます。 WebAuthn （FIDOのコンポーネント）Wikipediaページから：

「FIDO2オーセンティケーターは、単一要素モードまたは多要素モードのいずれかで使用できます。単一要素モードでは、オーセンティケーターは、通常、単純なボタンプッシュで構成されるユーザープレゼンス（TUP）のテストによってアクティブ化されます。 -factorモードの場合、オーセンティケーターはPIN（知っているもの）またはバイオメトリック（あなたが知っているもの）のいずれかによってアクティブ化されます。 "

その理由は、Fido2はサーバーからクライアントにチャレンジを送信することで機能し、クライアントはそのチャレンジに署名してサーバーに送信することで認証を行うためです。

Fido2認定デバイスでは、キーをハードウェアレベルで保護する必要があります。したがって、特定のキーがチャレンジに署名すると、それはユーザーのデバイスからのものであることを証明します。

A PINまたは生体認証は、認証で使用される2番目の要素として機能します。

両方を組み合わせると、多要素認証になります。