Ersetze Sicherheitsfragen und SMS-Einmalcodes durch einen biometrischen Abgleich mit dem Registrierungs-Selfie. Ergebnis in unter 2 Sekunden, ca. 0,15 $ pro Wiederherstellung, iBeta Level 1 zertifiziert.
Robinhood Ventures
Über 2.000 Organisationen weltweit vertrauen uns.
Warum ein Face Check besser ist als SMS
SIM-Swapping hebelt SMS-Einmalcodes aus. Phishing hebelt Sicherheitsfragen aus. Support-Mitarbeiter scheitern unter Druck. Ein Live-Gesichtsabgleich mit dem Registrierungs-Selfie besiegt alle drei – für $0.15 pro Wiederherstellung, mit einem Ergebnis in unter zwei Sekunden und 500 kostenlosen Checks pro Monat.
Wähle die gewünschten Checks aus – ID, Liveness, Face Match, Sanktionen, Adresse, Alter, Telefon, E-Mail, benutzerdefinierte Fragen. Ziehe sie im Dashboard in einen Flow oder poste denselben Flow an unsere API. Verzweige nach Bedingungen, führe A/B-Tests durch – kein Code erforderlich.
Bette nativ mit unserem Web-, iOS-, Android-, React Native- oder Flutter-SDK ein. Leite auf eine gehostete Seite weiter. Oder sende deinem User einfach einen Link – per E-Mail, SMS, WhatsApp, überall. Wähle, was zu deinem Stack passt.
Didit hostet die Kamera, die Lichtsignale, die mobile Übergabe und die Barrierefreiheit. Während der User den Flow durchläuft, bewerten wir über 200 Betrugssignale in Echtzeit und verifizieren jedes Feld anhand autoritativer Datenquellen. Ergebnis in unter zwei Sekunden.
Echtzeit-signierte Webhooks halten deine Datenbank synchron, sobald ein User genehmigt, abgelehnt oder zur Überprüfung gesendet wird. Frage die API bei Bedarf ab. Oder öffne die Konsole, um jede Session, jedes Signal zu prüfen und Fälle nach deinen Wünschen zu verwalten.
Didit · Face Match 1:1
Registrierung
Wiederherstellung
Didit · Passive Liveness
Didit · Step-up-Richtlinie
Didit · Fallbacks
Didit · Audit-Log
Didit · Session-Richtlinie
$ curl -X POST https://verification.didit.me/v3/session/ \
-H "x-api-key: $DIDIT_API_KEY" \
-H "Content-Type: application/json" \
-d '{
"workflow_id": "wf_account_recovery",
"vendor_data": "user-7382",
"metadata": { "trigger": "forgot_password" },
// base64 enrolment selfie, ≤ 1MB
"portrait_image": "/9j/4AAQSkZJRgABAQE..."
}'status: Approved meldet.Doku →// X-Signature-V2 verified upstream
if (payload.status === "Approved") {
sendPasswordResetEmail(payload.vendor_data);
registerNewDevice(payload.metadata);
} else if (payload.status === "Declined") {
security.logRecoveryAttack(payload);
}X-Signature-V2, bevor du den Payload liest.Doku →You are integrating Didit into an account-recovery flow. Replace knowledge-based recovery (security questions, SMS OTP, support-rep verification) with a biometric re-match against the user's enrolment selfie. ONE Didit session, two checks:
- Passive Liveness — make sure the recovery selfie is a real human, not a print / screen / mask / deepfake.
- Face Match 1:1 — match the recovery selfie against the user's enrolment selfie. If similarity is above your threshold, the recovery is approved.
Bundle pricing (verified live, 2026-05-16):
- Passive Liveness: $0.10 per recovery
- Face Match 1:1: $0.05 per recovery
- Total: ~$0.15 per recovery — public price, no minimums
- First 500 verifications free every month, forever
- SMS / WhatsApp One-Time Passcode (OTP) fallback: $0.03 per OTP (when biometric isn't possible)
PRE-REQUISITES
- Production API key from https://business.didit.me (sandbox key in 60s, no card).
- Webhook endpoint with HMAC SHA-256 verification using the X-Signature-V2 header.
- User's enrolment selfie on file — captured during initial KYC via a previous /v3/session/. Stored under your tenant in encrypted form.
- A workflow_id from the Workflow Builder that runs Passive Liveness + Face Match 1:1 against the stored reference.
STEP 1 — Trigger recovery on the right signal
Recovery is gated by your risk policy. Typical triggers:
- User clicks "Forgot password" — always.
- Sign-in from a new device + new IP country at the same time.
- Sign-in after account dormancy (e.g. 180+ days).
- Sensitive action: large withdrawal, payout to a new beneficiary, account-settings change.
Each trigger opens a Didit session.
STEP 2 — Open the recovery session
POST https://verification.didit.me/v3/session/
Headers:
x-api-key: <your api key>
Content-Type: application/json
Body:
{
"workflow_id": "<wf id with Passive Liveness + Face Match against enrolment selfie>",
"vendor_data": "<your user id, max 256 chars>",
"callback": "https://<your-app>/account/recovery/callback",
"metadata": {
"trigger": "forgot_password",
"device_fingerprint": "<your device fingerprint>",
"ip_country": "ES"
},
"portrait_image": "<base64 JPEG of the user's enrolment selfie, ≤ 1 MB — REQUIRED when the workflow has FACE_MATCH active; the recovery flow matches the new live selfie against this stored reference>"
}
Response: 201 Created with a hosted session URL. Redirect the user (web or in-app webview) to the URL. Sub-2-second median verdict on completion.
STEP 3 — Read the signed webhook on the verdict
Didit POSTs to your callback. Session statuses are Title Case With Spaces:
Body (excerpted):
{
"session_id": "<uuid>",
"vendor_data": "<your user id>",
"status": "Approved",
"liveness": { "status": "Approved" },
"face": { "status": "Approved", "similarity_score": 0.94 }
}
Status enum (exact case): Approved | Declined | In Review | Resubmitted | Expired | Not Finished | Kyc Expired | Abandoned.
Verify the X-Signature-V2 header BEFORE reading the body — HMAC SHA-256 of the raw bytes with your webhook secret.
STEP 4 — Branch on the verdict
Approved → unlock recovery: send the password-reset email, register the new device, complete the sensitive action.
In Review → soft-fail the recovery, route to support for human review.
Declined → block the recovery; log the hit. Could be a printed-photo or screen-replay attack — surface to security.
Resubmitted → user retried after a soft rejection — re-read.
Kyc Expired → reference selfie has aged out (per your retention policy) — fall back to documented recovery flow.
STEP 5 — Fallback for users who can't take a selfie
Camera missing, low light, hardware refused permission. Two graceful fallbacks:
- SMS / WhatsApp / Telegram One-Time Passcode (OTP) via Didit Phone Verification, $0.03 per OTP.
- Email magic link via your existing transactional email provider, $0.03 per email.
- Authenticator app — Time-based One-Time Password (TOTP) or FIDO2 hardware key, free.
Configure the fallback chain in the Workflow Builder. Selfie always tried first.
WEBHOOK EVENT NAMES
- Sessions: status changes flow through the standard session webhook.
Verify X-Signature-V2 on every payload.
CONSTRAINTS
- Session statuses use Title Case With Spaces (Approved, In Review). Do not lowercase or snake_case them.
- The recovery similarity threshold is configurable per app — start at 0.85, tune up for high-assurance apps (banks, brokerages) and down for low-friction consumer apps.
- Liveness is a Presentation Attack Detection (PAD) Level 1 model — defeats prints, screens, masks, deepfakes on consumer cameras. Active liveness (head-tilt prompts) is available for higher-friction higher-assurance flows at $0.15.
- The user's enrolment selfie must have been captured by Didit (any prior /v3/session/ with face capture). Bring-your-own enrolment image is roadmap.
- Default audit retention is 5 years configurable in the Business Console.
Read the docs:
- https://docs.didit.me/sessions-api/create-session
- https://docs.didit.me/core-technology/face-match/overview
- https://docs.didit.me/core-technology/liveness/overview
- https://docs.didit.me/integration/webhooks
Start free at https://business.didit.me — sandbox key in 60 seconds, 500 verifications free every month, no credit card.$0 / Monat. Keine Kreditkarte erforderlich.
Zahle nur, was du nutzt. Über 25 Module. Öffentliche Preise pro Modul, keine monatliche Mindestgebühr.
Individuelle MSA & SLA. Für große Volumina und regulierte Programme.
Kostenlos starten → nur zahlen, wenn eine Prüfung läuft → Enterprise für einen individuellen Vertrag, SLA oder Datenresidenz freischalten.
Didit ist die Infrastruktur für Identität und Betrug – die Plattform, die wir uns gewünscht hätten, als wir selbst Produkte entwickelten: offen, flexibel und entwicklerfreundlich, damit sie als echter Bestandteil deines Stacks funktioniert, anstatt einer Blackbox, um die du herum integrieren musst.
Eine API deckt die Verifizierung von Personen (KYC, Know Your Customer), die Verifizierung von Unternehmen (KYB, Know Your Business), das Screening von Krypto-Wallets (KYT, Know Your Transaction) und die Echtzeit-Überwachung von Transaktionen ab – auf einem Stack, der darauf ausgelegt ist, zu sein:
Die zugrunde liegende Basis: über 14.000 Dokumententypen in über 48 Sprachen, über 1.000 Datenquellen und über 200 Betrugssignale bei jeder Sitzung. Die Didit-Infrastruktur lernt dynamisch aus jeder Sitzung und wird jeden Tag besser.
Weil der Wiederherstellungs-Flow der einfachste Weg ist, die Authentifizierung zu umgehen. Der Nutzer hat das Passwort vergessen – per Definition kannst du es nicht abfragen. Die meisten Apps greifen auf Folgendes zurück:
Ein Live-Gesichtsabgleich mit dem Registrierungs-Selfie besiegt alle vier.
Drei strukturelle Probleme, die nicht verschwinden werden:
Das US National Institute of Standards and Technology (NIST) hat seit 2017 (SP 800-63B) explizit von SMS für hochsichere Wiederherstellung abgeraten.
Der gesamte Flow dauert normalerweise unter 30 Sekunden von Anfang bis Ende – Ausweis nehmen, Dokument fotografieren, Selfie machen, fertig. Das ist der schnellste auf dem Markt. Herkömmliche KYC-Anbieter benötigen für denselben Flow in der Regel mehr als 90 Sekunden.
Im Backend liefert Didit das Ergebnis in unter zwei Sekunden bei p99, gemessen vom Moment, in dem der Nutzer das Selfie beendet, bis zum Zeitpunkt, an dem dein Webhook ausgelöst wird. Die mobile Erfassung ist für langsame Telefone und langsame Netzwerke optimiert: progressive Bildkomprimierung, verzögertes Laden des Software Development Kits und eine One-Tap-Übergabe vom Desktop zum Telefon per QR-Code, wenn der Nutzer im Web beginnt.
Zwei Szenarien:
Die Möglichkeit, eigene Registrierungsbilder – deinen bestehenden Selfie-Korpus – zu verwenden, ist in Planung.
Jede Sitzung landet in einem von sieben klaren Status, sodass dein Code immer weiß, was zu tun ist:
Approved – alle Prüfungen bestanden. Den Nutzer weiterleiten.Declined – eine oder mehrere Prüfungen fehlgeschlagen. Du kannst dem Nutzer erlauben, den spezifischen fehlgeschlagenen Schritt (z.B. das Selfie erneut aufnehmen) erneut einzureichen, ohne den gesamten Flow erneut auszuführen.In Review – zur Compliance-Prüfung markiert. Öffne den Fall in der Konsole, sieh dir alle Signale an, entscheide über Genehmigung oder Ablehnung.In Progress – der Nutzer befindet sich mitten im Flow.Not Started – Link gesendet, Nutzer hat ihn noch nicht geöffnet. Sende eine Erinnerung, wenn es zu lange dauert.Abandoned – Nutzer hat den Link geöffnet, aber nicht rechtzeitig beendet. Erneut ansprechen oder ablaufen lassen.Expired – der Sitzungslink ist abgelaufen. Eine neue Sitzung erstellen.Ein signierter Webhook wird bei jeder Statusänderung ausgelöst, sodass deine Datenbank immer synchron bleibt. Abgebrochene und abgelehnte Sitzungen sind kostenlos.
Produktionsdaten werden standardmäßig in der Europäischen Union auf Amazon Web Services verarbeitet und gespeichert. Für Enterprise-Verträge können alternative Regionen angefragt werden, wenn dies von den Aufsichtsbehörden der jeweiligen Gerichtsbarkeit gefordert wird.
Verschlüsselung überall. AES-256 im Ruhezustand für jede Datenbank, jeden Objektspeicher und jedes Backup. Transport Layer Security 1.3 während der Übertragung bei jedem API-Aufruf, Webhook und jeder Business Console-Sitzung. Biometrische Daten werden unter einem separaten Customer Master Key verschlüsselt.
Die Aufbewahrung liegt in deiner Hand. Die Standardaufbewahrungsfrist ist unbegrenzt, es sei denn, du konfigurierst eine kürzere – zwischen 30 Tagen und 10 Jahren pro Anwendung – und du kannst jede einzelne Sitzung jederzeit über das Dashboard oder die API löschen.
Zertifizierungen: SOC 2 Typ 1 (Typ 2 Audit läuft), ISO/IEC 27001:2022, iBeta Level 1 PAD und eine öffentliche Bestätigung des spanischen Tesoro / SEPBLAC / CNMV, dass Didits Fernidentitätsprüfung sicherer ist als die persönliche Verifizierung. Vollständiger Bericht unter /security-compliance.
Didit ist standardmäßig konform für die Regulierungsbehörden, die für die Identitätsinfrastruktur relevant sind:
Detailliertes Memo, jedes Zertifikat, jeder Regulierungsbrief: /security-compliance.
Drei Integrationspfade – wähle den, der am besten zu deinem Stack passt:
Dasselbe Dashboard, dieselbe Abrechnung, derselbe Pay-per-Success-Preis für alle drei. Eine Schritt-für-Schritt-Anleitung findest du unter docs.didit.me/integration/integration-prompt.
Passive Liveness schlägt Deepfakes auf Consumer-Niveau schon heute. Das Presentation Attack Detection (PAD)-Modell achtet auf:
Didits PAD-Modell ist iBeta Level 1 zertifiziert. Aktive Liveness ($0.15) ergänzt Kopfneige-Aufforderungen für höhere Sicherheit gegen seltene, professionelle Echtzeit-Deepfakes.
Deepfake-Abwehr ist ein Wettrüsten – Didit trainiert das PAD-Modell vierteljährlich mit den neuesten Angriffsdaten neu.
Ja – das ist Biometric Authentication, ein wiederkehrendes Re-Auth-Muster. $0.10 pro Authentifizierung:
Gleicher /v3/session/-Vertrag, andere workflow_id. Üblich für Krypto-Börsen, Banking-Apps und hochsichere Consumer-Produkte. Siehe /products/biometric-authentication für das wiederkehrende Authentifizierungsmuster.
Jeder Wiederherstellungsversuch protokolliert:
vendor_data (deine Benutzerkennung) und Didit session_id.trigger, den du in metadata übergeben hast (forgot_password / new_device / dormancy / sensitive_action).Durchsuchbar über die Business Console, pro Benutzer exportierbar, 5 Jahre Aufbewahrung konfigurierbar. SOC 2 Typ 1 + ISO 27001 Kontrollen regeln die Speicherung.
Eine API für KYC, KYB, Transaktionsüberwachung und Wallet-Screening. In 5 Minuten integriert.