أوقف الاستيلاء على الحساب باستخدام فحص الوجه. عزز الأمان لحظة ارتفاع المخاطر.
خطوة تحقق بيومترية في اللحظات الدقيقة التي يستهدفها المهاجمون, التحويلات، إعادة تعيين كلمات المرور، تسجيل الدخول من جهاز جديد. حكم في أقل من ثانيتين، حوالي $0.13 لكل حدث. 500 عملية تحقق مجانية كل شهر.
كلمات مرور مسروقة. جلسات مسروقة. اختر وجهًا بدلاً من ذلك.
تتجاوز هجمات حشو بيانات الاعتماد، وتبديل شرائح SIM، وسرقة ملفات تعريف الارتباط للجلسة
كلمات المرور والرموز لمرة واحدة. استبدلها بخطوة تحقق من Didit في لحظة
الإجراء, $0.10 لكل مكالمة، حكم في أقل من ثانيتين، 500 مجانية كل شهر.
كيف يعمل
من التسجيل إلى مستخدم موثوق به في أربع خطوات.
الخطوة 01
أنشئ سير العمل
اختر الفحوصات التي تريدها, الهوية، الحيوية، مطابقة الوجه، العقوبات، العنوان، العمر، الهاتف، البريد الإلكتروني، الأسئلة المخصصة. اسحبها إلى سير عمل في لوحة التحكم، أو انشر نفس سير العمل على API الخاص بنا. قم بالتفرع بناءً على الشروط، وقم بإجراء اختبارات A/B، لا يتطلب أي كود.
الخطوة 02
ادمج
ادمج بشكل أصلي باستخدام SDK الخاص بنا للويب، iOS، Android، React Native، أو Flutter. أعد التوجيه إلى صفحة مستضافة. أو ببساطة أرسل لمستخدمك رابطًا, عبر البريد الإلكتروني، الرسائل القصيرة، واتساب، أي مكان. اختر ما يناسب نظامك.
الخطوة 03
يمر المستخدم عبر سير العمل
تستضيف Didit الكاميرا، إشارات الإضاءة، التسليم عبر الهاتف المحمول، وإمكانية الوصول. بينما يكون المستخدم في سير العمل، نقوم بتقييم أكثر من 200 إشارة احتيال في الوقت الفعلي والتحقق من كل حقل مقابل مصادر البيانات الموثوقة. النتيجة في أقل من ثانيتين.
الخطوة 04
تتلقى النتائج
تُبقي الـ webhooks الموقّعة في الوقت الفعلي قاعدة بياناتك متزامنة لحظة الموافقة على المستخدم أو رفضه أو إرساله للمراجعة. استعلم من الـ API عند الطلب. أو افتح الـ console لفحص كل جلسة وكل إشارة وإدارة الحالات بطريقتك.
مصمم للوصفة · مسعّر كبنية تحتية
ست إمكانيات. خطوة تحقق واحدة. ~0.13 دولار لكل حدث.
الدفاع ضد الاستيلاء على الحساب (ATO) هو تركيبة، وليس مجرد فحص واحد. فعّل كل إمكانية لكل سير عمل في Workflow Builder، أو قم بتركيبها مباشرةً عبر الـ API.
تُحدَّد سياسة الـ step-up في Workflow Builder, تحويلات عالية القيمة، إعادة تعيين كلمة المرور، دفع إلى وجهة جديدة، تسجيل دخول من جهاز جديد، شذوذ جغرافي. قم بالتحقق المسبق باستخدام تحليل الجهاز والـ IP إذا كنت تريد فحص الوجه فقط عندما تبدو إشارات الشبكة محفوفة بالمخاطر. لا حاجة لإعادة النشر لتغيير القواعد.
تحويل بنكي · تجاوز الحد اليومي> 5,000 دولارStep up
إعادة تعيين كلمة المرور · IP منخفض المخاطرAnyStep up
تسجيل الدخول من جهاز جديدأول ظهورStep up
صرف إلى حساب بنكي جديدAnyStep up
تسجيل الدخول · جهاز موثوق به + مخاطر IP منخفضةنقاط IP أقل من 20Pass
عدّل المشغلات في مُنشئ سير العمل (Workflow Builder). لا حاجة لإعادة النشر.
02 · Step-up بيومتري
خطوة تحقق واحدة. حكم في أقل من ثانيتين.
نفس المحرك البيومتري الذي استخدمه المستخدم عند التسجيل, iBeta Level 1 Presentation Attack Detection (PAD) بالإضافة إلى مطابقة الوجه 1:1 مع الصورة المخزنة. 0.10 دولار لكل جلسة. مقاومة للتصيد الاحتيالي ومقاومة لتبديل شرائح SIM. إنجاز كامل في أقل من ثانيتين على أجهزة Android ذات المستوى المبتدئ.
iBeta Level 1 PAD · ISO/IEC 30107-3أقل من ثانيتين من البداية للنهاية
03 · مطابقة الوجه 1:1 مقابل التسجيل
هدف المقارنة هو الصورة المخزنة للمستخدم.
تقارن مطابقة الوجه 1:1 كل صورة سيلفي للـ step-up بصورة التسجيل المخزنة للمستخدم. تُرجع درجة تشابه من 0 إلى 1.0 بالإضافة إلى تحذيرات؛ يمكن ضبط العتبة لكل سير عمل. لا يمكن لصورة سيلفي مسروقة أن تمر, الهدف مقفل على التسجيل الأصلي، وليس صورة تم التقاطها حديثًا.
تم اختباره بشكل مستقل في iBeta ومعتمد بمستوى 1 PAD وفقًا لكتالوج ISO/IEC 30107-3 الكامل. يحظر الصور المطبوعة، وإعادة تشغيل الشاشات، والأقنعة الورقية/السيليكونية/اللاتكس، وهجمات التشويه، والـ deepfakes التي تم إنشاؤها بواسطة الذكاء الاصطناعي لمالك الحساب. يُعاد اختباره سنويًا.
الطباعة. الإعادة. القناع. التزييف العميق. كلها محظورة.
iBeta L1 PAD
ناقل الهجومالنتيجةالقرار
صورة مطبوعة · رخصة قيادة99Block
إعادة عرض الشاشة (هاتف / شاشة)97Block
قناع سيليكون / لاتكس95Block
تزييف عميق بالذكاء الاصطناعي لمالك الحساب92Block
مستخدم حقيقي, موجود + ثابت4Pass
يُعاد اختباره في iBeta كل عامISO/IEC 30107-3
05 · فحص مسبق للـ IP والجهاز
VPN، مركز بيانات، Tor, يتم وضع علامة عليها قبل فحص الوجه.
قيّم عنوان IP (بروتوكول الإنترنت) للمستخدم وبصمة الجهاز قبل تفعيل الـ step-up. تُرجع درجة مخاطرة من 0 إلى 100 بالإضافة إلى علامات VPN، والوكيل، وTor، ومركز البيانات، والبلد، وASN. 0.03 دولار لكل فحص، في أقل من 100 مللي ثانية. تخطى الـ step-up على جهاز موثوق به + شبكة منخفضة المخاطر.
يعيد النتيجة، العلامات، ASN، البلد، المدينة, في أقل من 100 مللي ثانية.
06 · قرار الـ Webhook
webhook واحد. ثلاثة فروع. انتهى.
يهبط webhook موقّع بالحكم, تمت الموافقة، تم الرفض، قيد المراجعة، لم يكتمل. تحقق من X-Signature-V2 باستخدام HMAC SHA-256 قبل قراءة المحتوى. نفس الـ payload في كل step-up؛ فرّع الإجراء الأصلي وفقًا لذلك. أكثر من 200 إشارة احتيال تظهر بدون تكلفة إضافية.
200موافقالحالة: موافق عليه · مرفوض · قيد المراجعة · لم يكتمل
تكامل جاهز للوكيل
أطلق دفاعًا ضد الاستيلاء على الحساب في أمر واحد.
الصق في Claude Code، Cursor، Codex، Devin، Aider، أو Replit Agent. املأ بيانات حزمتك التقنية. يقوم الوكيل بربط المشغل، وفتح جلسة التحقق الإضافي، والتحقق من الويب هوك، وتفريع الإجراء الأصلي.
didit-integration-prompt.md
You are integrating Didit account-takeover defence into an application that already has the user signed in. Your job: when a sensitive action fires (large transfer, password reset, payout to a new destination, new-device login, geo anomaly), gate it on a Didit biometric step-up. One API call. One signed webhook. Three branches.
WHY THIS SHAPE
- Credential stuffing, SIM-swap, and stolen-session-cookie attacks all walk past passwords and SMS one-time codes. A face check at the moment of the sensitive action does not.
- Didit runs Passive Liveness (the user is alive, present, not a deepfake) plus 1:1 Face Match against the portrait captured at sign-up. A stolen selfie cannot pass — the comparison target is locked to the original enrollment.
- $0.10 per step-up (Biometric Authentication module) + $0.03 IP pre-check (optional) = around $0.13 per event. Sub-two-second verdict on entry-level Android. 500 verifications free every month.
PRE-REQUISITES
- Production API key from https://business.didit.me (sandbox key in 60 seconds, no credit card).
- A webhook endpoint with HMAC SHA-256 verification of the X-Signature-V2 header using your webhook secret.
HMAC-SHA256 verification MUST run against the raw body bytes (the raw payload as Didit sent it) BEFORE any JSON parsing — re-serialising the parsed body changes whitespace and key order, which invalidates the signature. - A Workflow Builder workflow that bundles Passive Liveness + Face Match 1:1 (with the user's stored sign-up portrait as the comparison target). Optionally compose Device & IP Analysis ahead of the step-up to pre-gate the check.
- Persist the user's sign-up portrait — either base64 on your side, or rely on Didit's stored enrollment via vendor_data lookup.
STEP 1 — Decide WHEN to step up (your code, not Didit's)
Run your usual fraud signals. Common triggers worth a biometric step-up:
- Wire / crypto transfer above the user's daily limit
- Password / email reset on a session less than 24h old
- Payout to a bank account or wallet seen for the first time
- Login from a new device or new country
- Velocity anomaly — N actions of type T within window W
Cheap pre-check (optional, ~100ms, $0.03):
- Score the user's IP via Device & IP Analysis. If the IP is a residential trusted address with a low risk score AND the device fingerprint matches the user's trusted device, skip the step-up. Otherwise run Step 2.
STEP 2 — Create a biometric step-up session
POST https://verification.didit.me/v3/session/
Headers:
x-api-key: <your api key>
Content-Type: application/json
Body:
{
"workflow_id": "<wf id bundling Passive Liveness + Face Match 1:1>",
"vendor_data": "<your user id, max 256 chars>",
"callback": "https://<your-app>/ato/step-up/callback",
"metadata": {
"trigger": "high_value_transfer",
"action_id": "<your internal action reference>"
},
"portrait_image": "<base64 JPEG of the user's stored sign-up portrait, ≤ 1 MB — REQUIRED when the workflow has FACE_MATCH active; the step-up matches the new live selfie against this stored reference>"
}
Response: 201 Created with a hosted session URL. Redirect the user there inline (or open it in a webview / Didit mobile SDK). The action stays BLOCKED on your side until the signed webhook lands.
STEP 3 — Read the signed webhook on completion
Didit POSTs the decision to your callback. Verify X-Signature-V2 (HMAC SHA-256 of the raw request body using your webhook secret) BEFORE reading the JSON.
Payload (excerpted):
{
"session_id": "<uuid>",
"vendor_data": "<your user id>",
"status": "Approved",
"liveness": { "status": "Approved" },
"face": { "status": "Approved", "similarity_score": 0.94 },
"ip_analysis": { "status": "Approved", "score": 11 }
}
Session status enum (exact case, Title Case With Spaces): Approved | Declined | In Review | Resubmitted | Expired | Not Finished | Kyc Expired | Abandoned.
STEP 4 — Branch the original action on status
Approved → unblock the sensitive action. Log session_id + similarity score on the audit trail.
In Review → hold the action, route to a human review queue.
Declined → block the action, log liveness warnings (mask / deepfake / replay / morph), alert the user.
Not Finished → invite the user to retry with a fresh session URL.
Expired → resend the link; the original session has timed out.
Abandoned → the user closed the flow before completing; resend the link.
STEP 5 — (Optional) Pull the full decision payload
GET https://verification.didit.me/v3/session/{session_id}/decision/
Headers:
x-api-key: <your api key>
Returns the same payload as the webhook plus the structured signals (liveness warnings, face-match similarity, IP / device flags). Use for analyst review.
WEBHOOK EVENT NAMES
- Sessions: standard session webhook (one endpoint, status field tells you where in the lifecycle).
- Verify X-Signature-V2 (HMAC SHA-256) on every payload.
CONSTRAINTS
- Session statuses use Title Case With Spaces (Approved, In Review). Never use UPPER_SNAKE_CASE for session verdicts — that's the Transactions API and lives in a different surface.
- 1:1 face match's comparison target is the user's STORED sign-up portrait, not a freshly captured one. A stolen selfie cannot pass.
- iBeta Level 1 Presentation Attack Detection (PAD) certified against the full ISO/IEC 30107-3 catalogue — print, replay, paper / silicone / latex mask, deepfake, morph.
- The Workflow Builder is where you choose the modules in the step-up — change them in the console without redeploying.
- 200+ fraud signals are surfaced on every session at no extra cost — read them off the decision payload, don't re-query.
Read the docs:
- https://docs.didit.me/sessions-api/create-session
- https://docs.didit.me/core-technology/biometric-auth/overview
- https://docs.didit.me/core-technology/ip-analysis/overview
- https://docs.didit.me/integration/webhooks
Start free at https://business.didit.me — sandbox key in 60 seconds, 500 verifications free every month, no credit card.
متوافق حسب التصميم
افتح دولة جديدة بنقرة واحدة. نحن نقوم بالعمل الشاق.
نحن نفتح الشركات التابعة المحلية، ونؤمن التراخيص، ونجري اختبارات الاختراق، ونحصل على الشهادات، ونتوافق مع كل لائحة جديدة. لنشر عمليات التحقق في بلد جديد، ما عليك سوى تفعيل مفتاح. أكثر من 220 دولة تعمل، يتم تدقيقها واختبار اختراقها كل ربع سنة, المزود الوحيد للهوية الذي وصفته حكومة دولة عضو في الاتحاد الأوروبي رسميًا بأنه أكثر أمانًا من التحقق الشخصي.