Ves al contingut principal
Didit recapta 7,5M $ per construir la infraestructura per a identitat i frau
Didit
Torna al blog
Blog · 13 de juny del 2026

Verificació Biomètrica vs. Contrasenyes: Per què les Dades Biomètriques Triomfen el 2026 (CA)

Les contrasenyes fallen per phishing, reutilització, "credential stuffing" i filtracions. L'autenticació biomètrica elimina el secret compartit i, combinada amb la prova de vida, vincula l'inici de sessió a una persona present i.

Per DiditActualitzat el
biometric-verification-vs-password.png

Una contrasenya és un secret compartit: tu la saps i el servidor que la va emmagatzemar també. Una dada biomètrica no és un secret compartit: és una propietat mesurable de la persona, no una cadena que es pugui copiar, vendre o endevinar.

Aquesta distinció és el motiu pel qual l'autenticació biomètrica està reemplaçant l'inici de sessió basat en contrasenyes en serveis financers, aplicacions crítiques d'identitat i fluxos de reautenticació d'alt risc. Les contrasenyes tenen un defecte estructural fonamental: s'han de transmetre, emmagatzemar i posteriorment recuperar, i cada pas és una superfície d'atac. La biometria, quan s'implementa correctament amb detecció de vida, vincula l'autenticació a una persona en viu i físicament present.

Punts clau

  • Les contrasenyes fallen a través de quatre mecanismes diferents: phishing, reutilització de credencials, "credential stuffing" i filtracions de dades. Cadascun és independent: defensar-se d'un deixa els usuaris exposats als altres.
  • L'autenticació biomètrica elimina el secret compartit: no hi ha contrasenya per fer phishing, reutilitzar o robar d'un servidor.
  • La detecció de vida és el que fa que l'autenticació biomètrica sigui resistent a la suplantació: confirma que la cara registrada és present i real en el moment de l'autenticació, no reproduïda d'una foto o vídeo.
  • La PAD (Detecció d'Atacs de Presentació) de Didit està certificada iBeta Nivell 1: 0% d'èxit d'atac i 0% IAPAR (Taxa d'Acceptació de Presentació d'Atacs d'Impostors) en 360 intents.
  • L'autenticació biomètrica amb Didit costa 0,10 $ per autenticació, comparable o més barata que la infraestructura d'OTP per SMS, amb una seguretat substancialment més forta.
  • 500 verificacions gratuïtes al mes, sense mínims.

Què és l'autenticació biomètrica?

L'autenticació biomètrica verifica la identitat utilitzant una característica física (cara, empremta digital, veu o iris) en lloc d'un factor de coneixement (contrasenya) o un factor de possessió (token de maquinari o telèfon). En contextos d'incorporació digital i reautenticació, la biometria facial s'ha convertit en l'enfocament dominant: les càmeres són omnipresents, la inscripció és fluida i una cara és difícil d'oblidar.

El mecanisme principal és una coincidència facial 1:1: en la inscripció, es captura i s'emmagatzema una plantilla biomètrica de referència. En l'autenticació, es compara una nova captura amb la plantilla emmagatzemada i una puntuació de coincidència determina el resultat. Per si sola, això és una comprovació de similitud. Combinada amb la detecció de vida, es converteix en una comprovació de presència, no només "és aquesta la cara correcta" sinó "és aquesta la cara correcta, en viu, ara mateix".

Per què fallen les contrasenyes

Les contrasenyes tenen quatre modes de fallada, i es combinen.

Phishing. Un usuari que rep una pàgina d'inici de sessió convincent i introdueix les seves credencials ha lliurat la contrasenya a un atacant. Cap defensa tècnica al servidor impedeix això; el model mental de l'usuari d'"una pàgina web que sembla correcta" és l'única porta, i falla constantment. El phishing segueix sent el vector d'accés inicial més comú en les filtracions reportades any rere any.

Reutilització de credencials. La majoria dels usuaris reutilitzen contrasenyes per a diversos serveis. Una violació en un lloc de baix valor (un fòrum, un minorista) produeix una llista de parells de correu electrònic-contrasenya. Els atacants proven aquests parells sistemàticament contra objectius d'alt valor: banca, cripto, comerç electrònic. Un subconjunt d'usuaris comparteix la contrasenya. Això no requereix engany, només automatització.

Credential stuffing. L'explotació automatitzada de credencials reutilitzades a gran escala. Les botnets proven milions de parells de nom d'usuari-contrasenya per hora a través de milers de serveis simultàniament. La limitació de velocitat l'alenteix; no l'atura. Fins i tot una taxa d'èxit del 0,5% en una llista de 100 milions de credencials filtrades representa 500.000 comptes compromesos.

Filtracions de dades. Les contrasenyes emmagatzemades pels servidors són objectius. Fins i tot les contrasenyes hash són reversibles donada una computació suficient i algorismes febles. L'emmagatzematge en text pla encara es produeix. Quan un servei és violat, la seva base de dades de contrasenyes es converteix en un actiu de l'atacant, un que continua sent valuós durant anys, ja que els usuaris no canvien les contrasenyes que no saben que van ser exposades.

Cap d'aquests modes de fallada s'aplica a la biometria de la mateixa manera. No hi ha una cadena biomètrica per fer phishing. No hi ha una base de dades de credencials de plantilles facials que, si es viola, permeti l'autenticació contra un servei diferent. La reutilització no comporta el mateix risc: la teva cara és la teva cara en tots els serveis, però una filtració de plantilla de coincidència facial no desbloqueja altres comptes.

Per què la prova de vida és l'addició crítica

Una coincidència facial sense prova de vida segueix sent una comprovació de similitud. Si un atacant té una foto de l'usuari registrat —de les xarxes socials, d'una filtració, d'un document d'incorporació falsificat— pot superar una coincidència facial mostrant la foto a una càmera.

La detecció de vida tanca aquesta bretxa. La prova de vida passiva utilitza PAD (Detecció d'Atacs de Presentació) per confirmar que la cara presentada és real i tridimensional, no una fotografia plana o una reproducció de pantalla. La prova de vida activa afegeix un desafiament en temps real (girar, parpellejar o seguir un objectiu) que una foto no pot realitzar. Juntes, vinculen l'autenticació a una persona viva i present, no al coneixement de com és aquesta persona.

La prova de vida passiva de Didit està certificada amb iBeta Nivell 1 PAD (ISO/IEC 30107-3), aconseguint un 0% d'èxit d'atac i un 0% IAPAR en 360 intents provats. L'atestació Tesoro/SEPBLAC/CNMV —l'única certificació governamental d'un estat membre de la UE que un mètode de verificació remota és més segur que la identificació presencial— s'aplica al flux biomètric complet, inclosa la prova de vida.

Casos d'ús

Reautenticació de Fintech. Les accions d'alt valor (grans transferències, canvis de credencials, recuperació de comptes) justifiquen una comprovació addicional més enllà d'una cookie de sessió. L'autenticació biomètrica a 0,10 $ confirma que el titular legítim del compte és present, no un atacant que va obtenir accés al dispositiu.

Inici de sessió de neobancs i carteres digitals. L'inici de sessió sense contrasenya amb autenticació facial biomètrica substitueix el cicle d'OTP per SMS, més ràpid per als usuaris i més difícil d'interceptar que un codi enviat per la xarxa mòbil, que és vulnerable als atacs de "SIM-swap".

Confiança en plataformes de mercat i serveis a demanda. La reverificació periòdica que la persona que opera un compte coincideix amb l'usuari registrat —útil per a plataformes que assumeixen la responsabilitat del frau per l'activitat del venedor o del conductor— es realitza a 0,10 $ per comprovació sense requerir que l'usuari torni a enviar documents.

Accions d'alt risc de cripto i VASP. Les sol·licituds de retirada, els canvis d'adreça de cartera i les operacions de recuperació de doble factor són objectius d'alt valor per a la presa de control de comptes. L'autenticació biomètrica amb prova de vida és substancialment més forta que TOTP (contrasenya d'un sol ús basada en el temps) o SMS.

Com ajuda Didit

L'autenticació biomètrica de Didit s'executa dins d'una sessió o com un pas dins de qualsevol flux de treball. El mòdul compara una captura en viu amb la biometria facial registrada durant el KYC (Coneix el teu client); no cal un pas d'inscripció separat si l'usuari ja ha completat una verificació amb Didit.

  1. Afegiu el mòdul Autenticació Biomètrica a un flux de treball a la Consola Empresarial.
  2. Creeu una sessió: POST /v3/session/ amb les vendor_data de l'usuari perquè Didit pugui recuperar la seva plantilla registrada.
  3. Redirigiu l'usuari a session.url: la captura de vida i la coincidència facial 1:1 s'executen en el flux allotjat.
  4. Llegiu el resultat del webhook session.status.updated o GET /v3/session/{sessionId}/decision/.

L'autenticació biomètrica costa 0,10 $ per autenticació. 500 comprovacions gratuïtes al mes, sense mínims. Combineu-la amb la prova de vida passiva (0,10 $) per a una confirmació de presència completa, o deixeu que el Creador de Fluxos de Treball redirigeixi automàticament les sessions de major risc a la prova de vida activa (0,15 $) segons el dispositiu, la IP o els senyals de comportament, sense necessitat de canvis de codi.

Preguntes freqüents

És l'autenticació biomètrica més segura que l'autenticació de dos factors (2FA) amb SMS?

Per a la majoria dels models d'amenaça, sí. El 2FA basat en SMS és vulnerable als atacs de "SIM-swap", la intercepció SS7 i el phishing en temps real que reenvia codis a l'atacant. L'autenticació biomètrica amb prova de vida requereix la presència física de la cara registrada, una classe d'assegurança fonamentalment diferent.

L'autenticació biomètrica reemplaça completament les contrasenyes?

Això depèn del vostre model de risc. L'autenticació biomètrica pot reemplaçar les contrasenyes com a factor principal en un flux sense contrasenya, o complementar-les com a factor de pas addicional per a accions d'alt risc. La majoria de les implementacions comencen amb la reautenticació per passos i s'expandeixen a partir d'aquí.

Què passa si la cara de l'usuari registrat canvia significativament?

Les plantilles facials capturen característiques biomètriques que són estables malgrat l'envelliment normal i els canvis d'aparença. Canvis significatius (cirurgia, lesions importants) poden requerir una nova inscripció. El sistema es pot configurar per marcar coincidències de baixa confiança per a una revisió manual en lloc d'un rebuig definitiu.

Quant costa l'autenticació biomètrica de Didit?

0,10 $ per comprovació d'autenticació. 500 verificacions gratuïtes al mes en tots els mòduls de Didit. Sense mínims, sense llicències per seient, sense tarifes de plataforma.

Funciona l'autenticació biomètrica per a un pas addicional dins d'una aplicació en execució?

Sí. Es pot iniciar una sessió de Didit a mitja aplicació per a una autenticació per passos: creeu una sessió, redirigiu dins de l'aplicació i rebeu el resultat mitjançant webhook. Els SDK estan disponibles per a Web, iOS, Android, React Native i Flutter.

Llest per començar?

Infraestructura per a identitat i frau.

Una API per a KYC, KYB, monitorització de transaccions i anàlisi de carteres. Integra-la en 5 minuts.

Comença de francParla amb nosaltres
Demana a una IA que resumeixi aquesta pàgina
Biometria vs Contrasenyes: Per què la Biometria Guanya | Didit.