सिक्योरिटी क्वेश्चन्स और SMS वन-टाइम कोड्स को एनरोलमेंट सेल्फ़ी के ख़िलाफ़ बायोमेट्रिक री-मैच से बदलें। 2 सेकंड से कम का फ़ैसला, ~$0.15 प्रति रिकवरी, iBeta लेवल 1 सर्टिफ़ाइड।
Robinhood Ventures
दुनिया भर में 2,000+ संगठनों द्वारा विश्वसनीय।
फेस चेक SMS से बेहतर क्यों है
SIM-स्वैप SMS वन-टाइम कोड को हरा देता है। फ़िशिंग सिक्योरिटी सवालों को हरा देती है। सपोर्ट प्रतिनिधि दबाव में खुद को हरा देते हैं। एनरोलमेंट सेल्फी के खिलाफ एक लाइव फेस मैच इन तीनों को हरा देता है — $0.15 प्रति रिकवरी पर, दो सेकंड से कम का फैसला, हर महीने 500 मुफ्त।
आप जो चेक चाहते हैं उन्हें चुनें — ID, लाइवनेस, फेस मैच, सैंक्शन, एड्रेस, उम्र, फ़ोन, ईमेल, कस्टम सवाल। उन्हें डैशबोर्ड में एक फ़्लो में ड्रैग करें, या उसी फ़्लो को हमारे API पर पोस्ट करें। शर्तों पर ब्रांच करें, A/B टेस्ट चलाएं, किसी कोड की ज़रूरत नहीं।
हमारे वेब, iOS, Android, React Native, या Flutter SDK के साथ नेटिवली एम्बेड करें। एक होस्टेड पेज पर रीडायरेक्ट करें। या बस अपने यूज़र को एक लिंक भेजें — ईमेल, SMS, WhatsApp, कहीं भी। जो आपके स्टैक के लिए फिट बैठता है उसे चुनें।
डिडिट कैमरा, लाइटिंग क्यू, मोबाइल हैंड-ऑफ और एक्सेसिबिलिटी को होस्ट करता है। जब यूज़र फ़्लो में होता है, तो हम रियल टाइम में 200+ फ्रॉड सिग्नलों को स्कोर करते हैं और आधिकारिक डेटा स्रोतों के खिलाफ हर फ़ील्ड को वेरिफाई करते हैं। दो सेकंड से कम में परिणाम।
रियल-टाइम साइंड वेबहुक आपके डेटाबेस को सिंक में रखते हैं, जैसे ही कोई यूज़र अप्रूव होता है, डिक्लाइन होता है, या रिव्यू के लिए भेजा जाता है। मांग पर API को पोल करें। या हर सेशन, हर सिग्नल का निरीक्षण करने और अपने तरीके से मामलों को मैनेज करने के लिए कंसोल खोलें।
Didit · फेस मैच 1:1
एनरोलमेंट
रिकवरी
Didit · पैसिव लाइवनेस
Didit · स्टेप-अप पॉलिसी
Didit · फॉलबैक
Didit · ऑडिट लॉग
Didit · सेशन पॉलिसी
$ curl -X POST https://verification.didit.me/v3/session/ \
-H "x-api-key: $DIDIT_API_KEY" \
-H "Content-Type: application/json" \
-d '{
"workflow_id": "wf_account_recovery",
"vendor_data": "user-7382",
"metadata": { "trigger": "forgot_password" },
// base64 enrolment selfie, ≤ 1MB
"portrait_image": "/9j/4AAQSkZJRgABAQE..."
}'status: Approved न कह दे।डॉक्यूमेंट्स →// X-Signature-V2 verified upstream
if (पेलोड।status === "अप्रूव्ड") {
sendPasswordResetEmail(पेलोड।vendor_data);
registerNewDevice(पेलोड।metadata);
} अन्यथा यदि (पेलोड।status === "डिक्लाइन किया गया") {
security.logRecoveryAttack(payload);
}X-Signature-V2 को वेरिफाई करें।डॉक्यूमेंट्स →You are integrating Didit into an account-recovery flow. Replace knowledge-based recovery (security questions, SMS OTP, support-rep verification) with a biometric re-match against the user's enrolment selfie. ONE Didit session, two checks:
- Passive Liveness — make sure the recovery selfie is a real human, not a print / screen / mask / deepfake.
- Face Match 1:1 — match the recovery selfie against the user's enrolment selfie. If similarity is above your threshold, the recovery is approved.
Bundle pricing (verified live, 2026-05-16):
- Passive Liveness: $0.10 per recovery
- Face Match 1:1: $0.05 per recovery
- Total: ~$0.15 per recovery — public price, no minimums
- First 500 verifications free every month, forever
- SMS / WhatsApp One-Time Passcode (OTP) fallback: $0.03 per OTP (when biometric isn't possible)
PRE-REQUISITES
- Production API key from https://business.didit.me (sandbox key in 60s, no card).
- Webhook endpoint with HMAC SHA-256 verification using the X-Signature-V2 header.
- User's enrolment selfie on file — captured during initial KYC via a previous /v3/session/. Stored under your tenant in encrypted form.
- A workflow_id from the Workflow Builder that runs Passive Liveness + Face Match 1:1 against the stored reference.
STEP 1 — Trigger recovery on the right signal
Recovery is gated by your risk policy. Typical triggers:
- User clicks "Forgot password" — always.
- Sign-in from a new device + new IP country at the same time.
- Sign-in after account dormancy (e.g. 180+ days).
- Sensitive action: large withdrawal, payout to a new beneficiary, account-settings change.
Each trigger opens a Didit session.
STEP 2 — Open the recovery session
POST https://verification.didit.me/v3/session/
Headers:
x-api-key: <your api key>
Content-Type: application/json
Body:
{
"workflow_id": "<wf id with Passive Liveness + Face Match against enrolment selfie>",
"vendor_data": "<your user id, max 256 chars>",
"callback": "https://<your-app>/account/recovery/callback",
"metadata": {
"trigger": "forgot_password",
"device_fingerprint": "<your device fingerprint>",
"ip_country": "ES"
},
"portrait_image": "<base64 JPEG of the user's enrolment selfie, ≤ 1 MB — REQUIRED when the workflow has FACE_MATCH active; the recovery flow matches the new live selfie against this stored reference>"
}
Response: 201 Created with a hosted session URL. Redirect the user (web or in-app webview) to the URL. Sub-2-second median verdict on completion.
STEP 3 — Read the signed webhook on the verdict
Didit POSTs to your callback. Session statuses are Title Case With Spaces:
Body (excerpted):
{
"session_id": "<uuid>",
"vendor_data": "<your user id>",
"status": "Approved",
"liveness": { "status": "Approved" },
"face": { "status": "Approved", "similarity_score": 0.94 }
}
Status enum (exact case): Approved | Declined | In Review | Resubmitted | Expired | Not Finished | Kyc Expired | Abandoned.
Verify the X-Signature-V2 header BEFORE reading the body — HMAC SHA-256 of the raw bytes with your webhook secret.
STEP 4 — Branch on the verdict
Approved → unlock recovery: send the password-reset email, register the new device, complete the sensitive action.
In Review → soft-fail the recovery, route to support for human review.
Declined → block the recovery; log the hit. Could be a printed-photo or screen-replay attack — surface to security.
Resubmitted → user retried after a soft rejection — re-read.
Kyc Expired → reference selfie has aged out (per your retention policy) — fall back to documented recovery flow.
STEP 5 — Fallback for users who can't take a selfie
Camera missing, low light, hardware refused permission. Two graceful fallbacks:
- SMS / WhatsApp / Telegram One-Time Passcode (OTP) via Didit Phone Verification, $0.03 per OTP.
- Email magic link via your existing transactional email provider, $0.03 per email.
- Authenticator app — Time-based One-Time Password (TOTP) or FIDO2 hardware key, free.
Configure the fallback chain in the Workflow Builder. Selfie always tried first.
WEBHOOK EVENT NAMES
- Sessions: status changes flow through the standard session webhook.
Verify X-Signature-V2 on every payload.
CONSTRAINTS
- Session statuses use Title Case With Spaces (Approved, In Review). Do not lowercase or snake_case them.
- The recovery similarity threshold is configurable per app — start at 0.85, tune up for high-assurance apps (banks, brokerages) and down for low-friction consumer apps.
- Liveness is a Presentation Attack Detection (PAD) Level 1 model — defeats prints, screens, masks, deepfakes on consumer cameras. Active liveness (head-tilt prompts) is available for higher-friction higher-assurance flows at $0.15.
- The user's enrolment selfie must have been captured by Didit (any prior /v3/session/ with face capture). Bring-your-own enrolment image is roadmap.
- Default audit retention is 5 years configurable in the Business Console.
Read the docs:
- https://docs.didit.me/sessions-api/create-session
- https://docs.didit.me/core-technology/face-match/overview
- https://docs.didit.me/core-technology/liveness/overview
- https://docs.didit.me/integration/webhooks
Start free at https://business.didit.me — sandbox key in 60 seconds, 500 verifications free every month, no credit card.$0 / महीना। क्रेडिट कार्ड की ज़रूरत नहीं।
आप जितना उपयोग करते हैं, केवल उसी का भुगतान करें। 25+ मॉड्यूल। प्रति-मॉड्यूल सार्वजनिक मूल्य निर्धारण, कोई मासिक न्यूनतम शुल्क नहीं।
कस्टम MSA और SLA। बड़ी मात्रा और विनियमित कार्यक्रमों के लिए।
मुफ़्त में शुरू करें → केवल चेक चलने पर भुगतान करें → कस्टम कॉन्ट्रैक्ट, SLA, या डेटा रेज़िडेंसी के लिए एंटरप्राइज़ अनलॉक करें।
Didit आइडेंटिटी और धोखाधड़ी के लिए इंफ्रास्ट्रक्चर है — वह प्लेटफ़ॉर्म जिसकी हमने खुद प्रोडक्ट बनाते समय कामना की थी: खुला, लचीला और डेवलपर-अनुकूल, ताकि यह आपके स्टैक के एक वास्तविक हिस्से के रूप में काम करे, न कि एक ब्लैक बॉक्स के रूप में जिसे आप इंटीग्रेट करते हैं।
एक API लोगों को वेरिफाई करने (KYC, अपने ग्राहक को जानें), व्यवसायों को वेरिफाई करने (KYB, अपने व्यवसाय को जानें), क्रिप्टो वॉलेट्स की स्क्रीनिंग (KYT, अपने लेनदेन को जानें), और वास्तविक समय में लेनदेन की निगरानी को कवर करता है — एक ऐसे स्टैक पर बनाया गया है जो:
इसके नीचे का फुटप्रिंट: 48+ भाषाओं में 14,000+ दस्तावेज़ प्रकार, 1,000+ डेटा स्रोत, और हर सेशन पर 200+ धोखाधड़ी सिग्नल। Didit इंफ्रास्ट्रक्चर हर सेशन से गतिशील रूप से सीखता है और हर दिन बेहतर होता जाता है।
क्योंकि रिकवरी फ्लो प्रमाणीकरण को बायपास करने का सबसे आसान तरीका है। उपयोगकर्ता पासवर्ड भूल गया है — परिभाषा के अनुसार आप इसे नहीं पूछ सकते। अधिकांश ऐप इन पर वापस आते हैं:
नामांकन सेल्फी के खिलाफ एक लाइव फेस मैच इन चारों को पराजित करता है।
तीन संरचनात्मक समस्याएं जो दूर नहीं होंगी:
यूएस नेशनल इंस्टीट्यूट ऑफ स्टैंडर्ड्स एंड टेक्नोलॉजी (NIST) ने 2017 (SP 800-63B) से उच्च-आश्वासन रिकवरी के लिए SMS के खिलाफ स्पष्ट रूप से सिफारिश की है।
पूरा प्रवाह सामान्य रूप से एंड-टू-एंड 30 सेकंड से कम लेता है — ID उठाएं, दस्तावेज़ की तस्वीर लें, सेल्फी लें, हो गया। यह बाजार में सबसे तेज़ है। लेगेसी KYC प्रदाताओं को आमतौर पर उसी प्रवाह के लिए 90 सेकंड से अधिक लगते हैं।
बैक एंड पर, Didit परिणाम p99 पर दो सेकंड से कम में लौटाता है, उपयोगकर्ता द्वारा सेल्फी पूरी करने के क्षण से लेकर आपके वेबहुक के फायर होने तक मापा जाता है। मोबाइल कैप्चर धीमे फोन और धीमे नेटवर्क के लिए ट्यून किया गया है: प्रगतिशील इमेज कम्प्रेशन, लेज़ी सॉफ्टवेयर डेवलपमेंट किट लोड, और यदि उपयोगकर्ता वेब पर शुरू करता है तो QR कोड के माध्यम से डेस्कटॉप से फोन पर एक-टैप हैंड-ऑफ।
दो परिदृश्य:
अपनी खुद की नामांकन इमेज लाएं — आपका मौजूदा सेल्फी कॉर्पस — रोडमैप पर है।
हर सेशन सात स्पष्ट स्थितियों में से एक पर आता है, इसलिए आपका कोड हमेशा जानता है कि क्या करना है:
Approved — हर चेक पास हो गया। उपयोगकर्ता को आगे बढ़ाएं।Declined — एक या अधिक चेक विफल हो गए। आप उपयोगकर्ता को विशिष्ट विफल चरण को फिर से सबमिट करने की अनुमति दे सकते हैं (उदाहरण के लिए, सेल्फी फिर से लें) पूरे प्रवाह को फिर से चलाए बिना।In Review — अनुपालन समीक्षा के लिए फ़्लैग किया गया। कंसोल में केस खोलें, हर सिग्नल देखें, स्वीकृत या अस्वीकृत करने का निर्णय लें।In Progress — उपयोगकर्ता प्रवाह के बीच में है।Not Started — लिंक भेजा गया, उपयोगकर्ता ने अभी तक इसे नहीं खोला है। यदि यह बहुत देर तक रहता है तो एक रिमाइंडर भेजें।Abandoned — उपयोगकर्ता ने लिंक खोला लेकिन समय पर समाप्त नहीं किया। फिर से संलग्न करें या समाप्त करें।Expired — सेशन लिंक पुराना हो गया। एक नया सेशन बनाएं।हर स्थिति परिवर्तन पर एक हस्ताक्षरित वेबहुक फायर होता है, इसलिए आपका डेटाबेस हमेशा सिंक में रहता है। छोड़े गए और अस्वीकृत सेशन मुफ्त हैं।
प्रोडक्शन डेटा डिफ़ॉल्ट रूप से यूरोपीय संघ में Amazon Web Services पर प्रोसेस और स्टोर किया जाता है। एंटरप्राइज़ कॉन्ट्रैक्ट उन न्यायक्षेत्रों के लिए वैकल्पिक क्षेत्रों का अनुरोध कर सकते हैं जिनके नियामकों को इसकी आवश्यकता होती है।
हर जगह एन्क्रिप्शन। हर डेटाबेस, ऑब्जेक्ट स्टोर और बैकअप में AES-256 रेस्ट पर। हर API कॉल, वेबहुक और बिज़नेस कंसोल सेशन पर ट्रांसपोर्ट लेयर सिक्योरिटी 1.3 ट्रांज़िट में। बायोमेट्रिक डेटा एक अलग कस्टमर मास्टर की के तहत एन्क्रिप्ट किया जाता है।
रिटेंशन आपके नियंत्रण में है। डिफ़ॉल्ट रिटेंशन अनिश्चित (असीमित) है जब तक कि आप इसे छोटा कॉन्फ़िगर नहीं करते — प्रति एप्लिकेशन 30 दिन से 10 साल के बीच — और आप डैशबोर्ड या API से किसी भी समय किसी भी व्यक्तिगत सेशन को हटा सकते हैं।
प्रमाणन: SOC 2 टाइप 1 (टाइप 2 ऑडिट प्रगति पर है), ISO/IEC 27001:2022, iBeta लेवल 1 PAD, और स्पेन के टेसोरो / SEPBLAC / CNMV से एक सार्वजनिक सत्यापन कि Didit का रिमोट आइडेंटिटी वेरिफिकेशन व्यक्तिगत रूप से किसी को वेरिफाई करने से ज़्यादा सुरक्षित है। पूरी रिपोर्ट /security-compliance पर।
Didit डिफ़ॉल्ट रूप से उन नियामकों के लिए अनुपालन करता है जो आइडेंटिटी इंफ्रास्ट्रक्चर के लिए महत्वपूर्ण हैं:
विस्तृत मेमो, हर सर्टिफिकेट, हर नियामक पत्र: /security-compliance।
तीन इंटीग्रेशन पाथ — जो भी आपके स्टैक के अनुकूल हो उसे चुनें:
तीनों के लिए एक ही डैशबोर्ड, एक ही बिलिंग, एक ही पे-पर-सक्सेस कीमत। docs.didit.me/integration/integration-prompt पर स्टेप-बाय-स्टेप गाइड।
पैसिव लाइवनेस आज उपभोक्ता-ग्रेड डीपफेक को हरा देती है। प्रेजेंटेशन अटैक डिटेक्शन (PAD) मॉडल इन चीज़ों की तलाश करता है:
Didit का PAD मॉडल iBeta लेवल 1 प्रमाणित है। एक्टिव लाइवनेस ($0.15) दुर्लभ पेशेवर-ग्रेड रीयल-टाइम डीपफेक के खिलाफ उच्च आश्वासन के लिए हेड-टिल्ट प्रॉम्प्ट जोड़ता है।
डीपफेक डिफेंस एक हथियारों की दौड़ है — Didit नवीनतम अटैक कॉर्पोरा के खिलाफ तिमाही आधार पर PAD मॉडल को फिर से प्रशिक्षित करता है।
हाँ — यह बायोमेट्रिक ऑथेंटिकेशन है, एक आवर्ती री-ऑथ पैटर्न। प्रति ऑथ $0.10:
वही /v3/session/ कॉन्ट्रैक्ट, अलग workflow_id। क्रिप्टो एक्सचेंज, बैंकिंग ऐप और उच्च-आश्वासन वाले उपभोक्ता उत्पादों के लिए सामान्य। आवर्ती-ऑथ पैटर्न के लिए /products/biometric-authentication देखें।
हर रिकवरी प्रयास लॉग करता है:
vendor_data (आपका उपयोगकर्ता पहचानकर्ता) और Didit session_id।metadata में आपने जो trigger पास किया था (forgot_password / new_device / dormancy / sensitive_action)।बिज़नेस कंसोल से खोजा जा सकता है, प्रति उपयोगकर्ता निर्यात किया जा सकता है, 5 साल का रिटेंशन कॉन्फ़िगर करने योग्य। SOC 2 टाइप 1 + ISO 27001 नियंत्रण स्टोरेज को नियंत्रित करते हैं।
KYC, KYB, ट्रांज़ैक्शन मॉनिटरिंग और वॉलेट स्क्रीनिंग के लिए एक API। 5 मिनट में इंटीग्रेट करें।