Zum Hauptinhalt springen
Didit sammelt 2 Mio. $ ein und tritt Y Combinator (W26) bei
Didit
Schutz vor Kontoübernahme

Stoppen Sie die Kontoübernahme mit einem Gesichtscheck. Erhöhen Sie die Sicherheit, sobald das Risiko steigt.

Eine biometrische Step-up-Authentifizierung genau in den Momenten, die Angreifer ins Visier nehmen – Überweisungen, Passwort-Resets, Anmeldungen von neuen Geräten. Ergebnis in unter zwei Sekunden, ca. $0.13 pro Ereignis. 500 Verifizierungen jeden Monat kostenlos.

Kostenlos startenDokumentation lesen
Unterstützt von
Y Combinator
GBTC Finance
Bondex
Crnogorski Telekom
UCSF Neuroscape
Shiply
Adelantos

Vertrauen von über 2.000 Organisationen weltweit.

Ein dunkler, abstrakter Stack zur Kontoübernahme – vier schwebende, durchscheinende dunkelglasige Paneele in 3D-Perspektive auf reinem Schwarz, durchzogen von einer leuchtenden Didit Blue vertikalen Linie und umrahmt von vier glühenden Scannerklammern. Jedes Paneel trägt ein winziges, blassweißes, abstraktes Motiv des Step-up-Rezepts.

Wie Angreifer angreifen

Gestohlene Passwörter. Gestohlene Sitzungen. Wählen Sie stattdessen ein Gesicht.

Credential Stuffing, SIM-Swap und gestohlene Session-Cookie-Angriffe umgehen alle Passwörter und Einmalcodes. Ersetzen Sie diese durch eine Didit Step-up-Authentifizierung im Moment der Aktion – $0.10 pro Aufruf, Ergebnis in unter zwei Sekunden, 500 kostenlos jeden Monat.

So funktioniert's

Von der Anmeldung zum verifizierten Benutzer in vier Schritten.

  1. Schritt 01

    Workflow erstellen

    Wählen Sie die gewünschten Prüfungen aus – ID, Lebendigkeitserkennung, Gesichtsabgleich, Sanktionen, Adresse, Alter, Telefon, E-Mail, benutzerdefinierte Fragen. Ziehen Sie sie im Dashboard in einen Flow oder posten Sie denselben Flow an unsere API. Verzweigen Sie nach Bedingungen, führen Sie A/B-Tests durch, kein Code erforderlich.

  2. Schritt 02

    Integrieren

    Nativ einbetten mit unserem Web-, iOS-, Android-, React Native- oder Flutter-SDK. Weiterleiten zu einer gehosteten Seite. Oder senden Sie Ihrem Benutzer einfach einen Link – per E-Mail, SMS, WhatsApp, überall. Wählen Sie, was zu Ihrem Stack passt.

  3. Schritt 03

    Benutzer durchläuft den Flow

    Didit hostet die Kamera, die Beleuchtungshinweise, die mobile Übergabe und die Barrierefreiheit. Während der Benutzer den Flow durchläuft, bewerten wir über 200 Betrugssignale in Echtzeit und verifizieren jedes Feld anhand autoritativer Datenquellen. Ergebnis in unter zwei Sekunden.

  4. Schritt 04

    Sie erhalten die Ergebnisse

    Echtzeit-signierte Webhooks halten Ihre Datenbank synchron, sobald ein Benutzer genehmigt, abgelehnt oder zur Überprüfung gesendet wird. Fragen Sie die API bei Bedarf ab. Oder öffnen Sie die Konsole, um jede Sitzung, jedes Signal zu überprüfen und Fälle nach Ihren Wünschen zu verwalten.

Für das Rezept gebaut · Preis wie Infrastruktur

Sechs Funktionen. Ein Step-up. ~$0.13 pro Ereignis.

Die ATO-Abwehr ist eine Komposition, keine einzelne Prüfung. Schalten Sie jede Funktion pro Workflow im Workflow Builder um oder komponieren Sie sie inline über die API.
Dokumentation lesenAPI-Schlüssel anfordern
01 · Step-up-Auslöser

Sie wählen den Zeitpunkt. Didit führt die Prüfung durch.

Die Step-up-Richtlinie befindet sich im Workflow Builder – Überweisung mit hohem Wert, Passwort-Reset, Auszahlung an ein neues Ziel, Anmeldung von einem neuen Gerät, Geo-Anomalie. Vorabprüfung mit Geräte- und IP-Analyse, wenn Sie die Gesichtsüberprüfung nur wünschen, wenn Netzwerksignale riskant erscheinen. Keine erneute Bereitstellung zur Änderung der Regeln.
Workflow Orchestrator Modul
02 · Biometrisches Step-up

Ein Step-up. Urteil unter zwei Sekunden.

Dieselbe biometrische Engine, die der Benutzer bei der Registrierung bestanden hat – iBeta Level 1 Presentation Attack Detection (PAD) plus 1:1 Gesichtsabgleich mit dem gespeicherten Porträt. $0.10 pro Sitzung. Phishing-resistent und SIM-Swap-resistent. End-to-End unter zwei Sekunden auf Android-Einstiegsgeräten.
Biometrisches Authentifizierungsmodul
03 · Gesichtsvergleich 1:1 vs. Registrierung

Das Vergleichsziel ist das gespeicherte Porträt des Benutzers.

Der Gesichtsvergleich 1:1 vergleicht jedes Step-up-Selfie mit dem gespeicherten Registrierungsporträt des Benutzers. Er liefert einen Ähnlichkeitswert von 0–1,0 plus Warnungen; der Schwellenwert ist pro Workflow einstellbar. Ein gestohlenes Selfie kann nicht bestehen – das Ziel ist auf die ursprüngliche Registrierung festgelegt, nicht auf ein frisch aufgenommenes Bild.
Gesichtsvergleich 1:1 Modul
04 · Deepfake-Abwehr

Druck. Wiedergabe. Maske. Deepfake. Alles blockiert.

Unabhängig bei iBeta getestet und als Level 1 PAD gemäß dem vollständigen ISO/IEC 30107-3 Katalog zertifiziert. Blockiert gedruckte Fotos, Bildschirmwiedergaben, Papier-/Silikon-/Latexmasken, Morph-Angriffe und KI-generierte Deepfakes des Kontoinhabers. Jährlich neu getestet.
Liveness-Modul
05 · IP + Geräte-Vorprüfung

VPN, Rechenzentrum, Tor – vor der Gesichtsüberprüfung markiert.

Bewerten Sie die IP-Adresse (Internet Protocol) und den Geräte-Fingerabdruck des Benutzers, bevor das Step-up ausgelöst wird. Liefert einen Risikowert von 0–100 plus VPN-, Proxy-, Tor-, Rechenzentrums-, Länder- und ASN-Flags. $0.03 pro Prüfung, unter 100 ms. Überspringen Sie das Step-up auf vertrauenswürdigen Geräten + Netzwerken mit geringem Risiko.
Geräte- & IP-Analysemodul
06 · Webhook-Entscheidung

Ein Webhook. Drei Verzweigungen. Fertig.

Ein signierter Webhook landet mit dem Urteil – Genehmigt, Abgelehnt, In Überprüfung, Nicht abgeschlossen. Überprüfen Sie X-Signature-V2 mit HMAC SHA-256, bevor Sie den Body lesen. Dieselbe Payload bei jedem Step-up; verzweigen Sie die ursprüngliche Aktion entsprechend. Über 200 Betrugssignale werden ohne zusätzliche Kosten angezeigt.
Webhook-Referenz
Integrieren

Eine Sitzung. Ein signierter Webhook. Drei Verzweigungen.

Öffnen Sie den Step-up gegen den biometrischen Workflow. Lesen Sie das signierte Urteil. Verzweigen Sie die Aktion.
POST /v3/session/Step-up
$ curl -X POST https://verification.didit.me/v3/session/ \
  -H "x-api-key: $DIDIT_API_KEY" \
  -H "Content-Type: application/json" \
  -d '{
    "workflow_id": "wf_ato_step_up",
    "vendor_data": "user-42",
    "metadata": { "trigger": "high_value_transfer" },
    // base64 KYC enrolment selfie, ≤ 1MB
    "portrait_image": "/9j/4AAQSkZJRgABAQE..."
  }'
201Erstellt{ "session_url": "verify.didit.me/..." }
Blockieren Sie die Aktion, bis der Webhook status: Approved meldet.Dokumente →
POST /webhooks/diditUrteil
// X-Signature-V2 verified upstream
if (Nutzlast.status === "Genehmigt") {
  unblockAction(Nutzlast.vendor_data);
} sonst wenn (Nutzlast.status === "Abgelehnt") {
  logWarnings(Nutzlast.liveness.warnings);
  blockAndAlert(Nutzlast.vendor_data);
}
200OKStatus Genehmigt · Abgelehnt · In Überprüfung · Nicht abgeschlossen
Überprüfen Sie X-Signature-V2, bevor Sie die Payload lesen.Dokumente →
Agentenbereite Integration

Versenden Sie die Abwehr von Kontoübernahmen in einer einzigen Aufforderung.

Fügen Sie es in Claude Code, Cursor, Codex, Devin, Aider oder Replit Agent ein. Füllen Sie Ihren Stack aus. Der Agent verdrahtet den Trigger, öffnet die Step-up-Sitzung, überprüft den Webhook und verzweigt die ursprüngliche Aktion.
didit-integration-prompt.md
You are integrating Didit account-takeover defence into an application that already has the user signed in. Your job: when a sensitive action fires (large transfer, password reset, payout to a new destination, new-device login, geo anomaly), gate it on a Didit biometric step-up. One API call. One signed webhook. Three branches.

WHY THIS SHAPE
  - Credential stuffing, SIM-swap, and stolen-session-cookie attacks all walk past passwords and SMS one-time codes. A face check at the moment of the sensitive action does not.
  - Didit runs Passive Liveness (the user is alive, present, not a deepfake) plus 1:1 Face Match against the portrait captured at sign-up. A stolen selfie cannot pass — the comparison target is locked to the original enrollment.
  - $0.10 per step-up (Biometric Authentication module) + $0.03 IP pre-check (optional) = around $0.13 per event. Sub-two-second verdict on entry-level Android. 500 verifications free every month.

PRE-REQUISITES
  - Production API key from https://business.didit.me (sandbox key in 60 seconds, no credit card).
  - A webhook endpoint with HMAC SHA-256 verification of the X-Signature-V2 header using your webhook secret.
 HMAC-SHA256 verification MUST run against the raw body bytes (the raw payload as Didit sent it) BEFORE any JSON parsing — re-serialising the parsed body changes whitespace and key order, which invalidates the signature.  - A Workflow Builder workflow that bundles Passive Liveness + Face Match 1:1 (with the user's stored sign-up portrait as the comparison target). Optionally compose Device & IP Analysis ahead of the step-up to pre-gate the check.
  - Persist the user's sign-up portrait — either base64 on your side, or rely on Didit's stored enrollment via vendor_data lookup.

STEP 1 — Decide WHEN to step up (your code, not Didit's)
  Run your usual fraud signals. Common triggers worth a biometric step-up:
    - Wire / crypto transfer above the user's daily limit
    - Password / email reset on a session less than 24h old
    - Payout to a bank account or wallet seen for the first time
    - Login from a new device or new country
    - Velocity anomaly — N actions of type T within window W

  Cheap pre-check (optional, ~100ms, $0.03):
    - Score the user's IP via Device & IP Analysis. If the IP is a residential trusted address with a low risk score AND the device fingerprint matches the user's trusted device, skip the step-up. Otherwise run Step 2.

STEP 2 — Create a biometric step-up session
  POST https://verification.didit.me/v3/session/
  Headers:
    x-api-key: <your api key>
    Content-Type: application/json
  Body:
    {
      "workflow_id": "<wf id bundling Passive Liveness + Face Match 1:1>",
      "vendor_data": "<your user id, max 256 chars>",
      "callback": "https://<your-app>/ato/step-up/callback",
      "metadata": {
        "trigger": "high_value_transfer",
        "action_id": "<your internal action reference>"
      },
      "portrait_image": "<base64 JPEG of the user's stored sign-up portrait, ≤ 1 MB — REQUIRED when the workflow has FACE_MATCH active; the step-up matches the new live selfie against this stored reference>"
    }

  Response: 201 Created with a hosted session URL. Redirect the user there inline (or open it in a webview / Didit mobile SDK). The action stays BLOCKED on your side until the signed webhook lands.

STEP 3 — Read the signed webhook on completion
  Didit POSTs the decision to your callback. Verify X-Signature-V2 (HMAC SHA-256 of the raw request body using your webhook secret) BEFORE reading the JSON.

  Payload (excerpted):
    {
      "session_id": "<uuid>",
      "vendor_data": "<your user id>",
      "status": "Approved",
      "liveness": { "status": "Approved" },
      "face":     { "status": "Approved", "similarity_score": 0.94 },
      "ip_analysis": { "status": "Approved", "score": 11 }
    }

  Session status enum (exact case, Title Case With Spaces): Approved | Declined | In Review | Resubmitted | Expired | Not Finished | Kyc Expired | Abandoned.

STEP 4 — Branch the original action on status
  Approved      → unblock the sensitive action. Log session_id + similarity score on the audit trail.
  In Review     → hold the action, route to a human review queue.
  Declined      → block the action, log liveness warnings (mask / deepfake / replay / morph), alert the user.
  Not Finished  → invite the user to retry with a fresh session URL.
  Expired       → resend the link; the original session has timed out.
  Abandoned     → the user closed the flow before completing; resend the link.

STEP 5 — (Optional) Pull the full decision payload
  GET https://verification.didit.me/v3/session/{session_id}/decision/
  Headers:
    x-api-key: <your api key>
  Returns the same payload as the webhook plus the structured signals (liveness warnings, face-match similarity, IP / device flags). Use for analyst review.

WEBHOOK EVENT NAMES
  - Sessions: standard session webhook (one endpoint, status field tells you where in the lifecycle).
  - Verify X-Signature-V2 (HMAC SHA-256) on every payload.

CONSTRAINTS
  - Session statuses use Title Case With Spaces (Approved, In Review). Never use UPPER_SNAKE_CASE for session verdicts — that's the Transactions API and lives in a different surface.
  - 1:1 face match's comparison target is the user's STORED sign-up portrait, not a freshly captured one. A stolen selfie cannot pass.
  - iBeta Level 1 Presentation Attack Detection (PAD) certified against the full ISO/IEC 30107-3 catalogue — print, replay, paper / silicone / latex mask, deepfake, morph.
  - The Workflow Builder is where you choose the modules in the step-up — change them in the console without redeploying.
  - 200+ fraud signals are surfaced on every session at no extra cost — read them off the decision payload, don't re-query.

Read the docs:
  - https://docs.didit.me/sessions-api/create-session
  - https://docs.didit.me/core-technology/biometric-auth/overview
  - https://docs.didit.me/core-technology/ip-analysis/overview
  - https://docs.didit.me/integration/webhooks

Start free at https://business.didit.me — sandbox key in 60 seconds, 500 verifications free every month, no credit card.
Benötigen Sie mehr Kontext? Sehen Sie sich die vollständige Moduldokumentation an.docs.didit.me →
Von Grund auf konform

Ein neues Land mit einem Klick eröffnen. Wir machen die harte Arbeit.

Wir gründen die lokalen Tochtergesellschaften, sichern die Lizenzen, führen die Penetrationstests durch, erwerben die Zertifizierungen und passen uns jeder neuen Vorschrift an. Um Verifizierungen in einem neuen Land zu versenden, legen Sie einen Schalter um. Über 220 Länder live, vierteljährlich geprüft und Pen-getestet – der einzige Identitätsanbieter, den eine Regierung eines EU-Mitgliedstaates formell als sicherer als die persönliche Verifizierung bezeichnet hat.
Sicherheits- und Compliance-Dossier lesen
EU Finanz-Sandbox
Tesoro · SEPBLAC · BdE
ISO/IEC 27001
Informationssicherheit · 2026
SOC 2 · Type I
AICPA · 2026
iBeta Level 1 PAD
NIST / NIAP · 2026
GDPR
EU 2016/679
DORA
EU 2022/2554
MiCA
EU 2023/1114
AMLD6 · eIDAS 2.0
EU-konform durch Design

Beweiszahlen

Beweiszahlen
  • iBeta L1
    Unabhängig zertifizierte Präsentationsangriffserkennung – jährlich neu getestet.
  • <0s
    Step-up-Urteil End-to-End auf Einsteiger-Android.
  • ~$0.13
    Pro Ereignis – $0.10 biometrischer Step-up plus $0.03 optionaler IP-Vorabcheck.
  • 0
    Kostenlose Verifizierungen jeden Monat, auf jedem Konto.
Drei Stufen, eine Preisliste

Kostenlos starten. Pro Nutzung bezahlen. Auf Enterprise skalieren.

500 kostenlose Verifizierungen jeden Monat, für immer. Pay-as-you-go für die Produktion. Individuelle Verträge, Datenresidenz und SLAs (Service Level Agreements) für Enterprise.
Kostenlos

Kostenlos

$0 / Monat. Keine Kreditkarte erforderlich.

  • Kostenloses KYC-Paket (ID-Verifizierung + Passive Liveness + Gesichtsabgleich + Geräte- & IP-Analyse) – 500 / Monat, jeden Monat
  • Blockierte Benutzer
  • Duplikaterkennung
  • Über 200 Betrugssignale bei jeder Sitzung
  • Wiederverwendbares KYC im Didit-Netzwerk
  • Fallmanagement-Plattform
  • Workflow-Builder
  • Öffentliche Dokumente, Sandbox, SDKs, MCP (Model Context Protocol) Server
  • Community-Support
Kostenlos starten
Am beliebtesten
Pro Nutzung bezahlen

Nutzungsbasiert

Zahlen Sie nur für das, was Sie nutzen. Über 25 Module. Öffentliche Preise pro Modul, keine monatliche Mindestgebühr.

  • Vollständiges KYC für $0.33 (ID + Biometrie + IP / Gerät)
  • Über 10.000 AML-Datensätze – Sanktionen, PEPs, negative Medienberichte
  • Über 1.000 staatliche Datenquellen für die Datenbankvalidierung
  • Transaktionsüberwachung für $0.02 pro Transaktion
  • Live KYB für $2.00 pro Unternehmen
  • Wallet-Screening für $0.15 pro Prüfung
  • Whitelabel-Verifizierungsablauf – Ihre Marke, unsere Infrastruktur
Vollständige Preisliste anzeigenKostenlos starten
Enterprise

Enterprise

Benutzerdefinierte MSA & SLA. Für große Volumina und regulierte Programme.

  • Jahresverträge
  • Benutzerdefinierte MSA, DPA und SLA
  • Dedizierter Slack- und WhatsApp-Kanal
  • Manuelle Prüfer auf Abruf
  • Wiederverkäufer- und White-Label-Bedingungen
  • Exklusive Funktionen und Partnerintegrationen
  • Benannter CSM, Sicherheitsüberprüfung, Compliance-Unterstützung
Sprechen Sie uns an

Kostenlos starten → nur bezahlen, wenn eine Prüfung durchgeführt wird → Enterprise für einen individuellen Vertrag, SLA oder Datenresidenz freischalten.

FAQ

Häufig gestellte Fragen

Verwandt

Verwandte Module + Workflows

Infrastruktur für Identität und Betrug.

Eine API für KYC, KYB, Transaktionsüberwachung und Wallet-Screening. In 5 Minuten integriert.

Kostenlos startenSprechen Sie uns an
Bitten Sie eine KI, diese Seite zusammenzufassen