Ja genau. Eine TAN wird ja bspw. über die Geldkarte erzeugt und ist quasi eine Authentifkation die bei einer Transaktion vorgelegt wird, zumindest bei größeren Beträgen. Dennoch gehen kleinere Beträge und Rumschnüffeln auch ohne TAN, also allein mit dem Token.

Wobei es gar keines zusätzlichen Aufwandes bedarf, anstelle des Token Benutzername+Passwort in einen Cookie zu setzen. Damit authentifiziert sich der Benutzer bei JEDEm Request ohne daß er das jedesmal neu eingeben muss.

Aber auf die Idee muß man erst einmal kommen ;)