Aumente a segurança de fluxos sensíveis com uma correspondência facial em menos de 2 segundos com o retrato cadastrado. Resistente a phishing. À prova de troca de SIM. $0.10 por autenticação. 500 verificações gratuitas todos os meses.
Confiado por mais de 2.000 organizações em todo o mundo.
Resistente a phishing · À prova de troca de SIM
O segundo fator é o rosto do usuário, correspondido 1:1 com o retrato que ele cadastrou no momento da inscrição. A prova de vida bloqueia o ataque de impressão / reprodução / máscara / Rede Generativa Adversarial (GAN) no mesmo quadro. Veredito em menos de 2 segundos em Android de nível básico. $0.10 por autenticação. 500 verificações gratuitas todos os meses.
Escolha as verificações que deseja — ID, prova de vida, correspondência facial, sanções, endereço, idade, telefone, e-mail, perguntas personalizadas. Arraste-as para um fluxo no painel ou publique o mesmo fluxo em nossa API. Ramifique em condições, execute testes A/B, sem necessidade de código.
Incorpore nativamente com nosso SDK Web, iOS, Android, React Native ou Flutter. Redirecione para uma página hospedada. Ou apenas envie um link ao seu usuário — por e-mail, SMS, WhatsApp, em qualquer lugar. Escolha o que melhor se adapta à sua pilha.
Didit hospeda a câmera, as dicas de iluminação, a entrega móvel e a acessibilidade. Enquanto o usuário está no fluxo, pontuamos mais de 200 sinais de fraude em tempo real e verificamos cada campo em relação a fontes de dados autorizadas. Resultado em menos de dois segundos.
Webhooks assinados em tempo real mantêm seu banco de dados sincronizado no momento em que um usuário é aprovado, recusado ou enviado para revisão. Consulte a API sob demanda. Ou abra o console para inspecionar cada sessão, cada sinal e gerenciar casos do seu jeito.
Didit · Autenticação Biométrica
Confirmar transferência
Mostre seu rosto para autorizar
Didit · Face Match 1:1
Registrado
Similaridade
0.96
CorrespondênciaAo vivo
Didit · Matriz de ataque
Didit · Gatilhos de step-up
Didit · Webhook · X-Signature-V2
Payload
{
"session_id": "<uuid>",
"vendor_data": "user-42",
"status": "Approved",
"face": {
"status": "Approved",
"similarity_score": 0.96
}
}Didit · Economia
$ curl -X POST https://verification.didit.me/v3/session/ \
-H "x-api-key: $DIDIT_API_KEY" \
-d '{
"workflow_id": "wf_bio_2fa",
"workflow_type": "biometric_authentication",
"vendor_data": "user-42",
// base64 reference selfie, ≤ 1MB (omit for liveness-only)
"portrait_image": "/9j/4AAQSkZJRgABAQE..."
}'LIVENESS + FACE_MATCH contra a portrait_image fornecida.docs →$ curl -X POST https://verification.didit.me/v3/face-match/ \
-H "x-api-key: $DIDIT_API_KEY" \
-F "image_a=@live.jpg" \
-F "image_b=@enrolled.jpg"You are integrating Didit's Biometric 2FA into <my_stack>. Replace SMS one-time-password (OTP) on sensitive flows — login from a new device, large-value transfer, settings change, account recovery — with a sub-2-second face match against the user's enrolled portrait. Cheaper than SMS. Phishing-resistant. SIM-swap-proof.
1. Enrol the user's portrait ONCE at sign-up via the standard Know Your Customer (KYC) session.
2. On every sensitive action, open a Biometric Authentication session that runs Passive Liveness + Face Match 1:1 against the stored portrait. Verdict in sub-2-seconds.
Pricing (public):
- Biometric Authentication: $0.10 per authentication (Sessions API)
- Standalone Face Match 1:1: $0.05 per match (server-to-server)
- First 500 verifications free every month, forever
PRE-REQUISITES
- Production API key from https://business.didit.me (sandbox key in 60s, no card).
- Webhook endpoint with Hash-based Message Authentication Code (HMAC) SHA-256 verification using the X-Signature-V2 header.
- The user has previously enrolled — either via a full KYC session (recommended; the portrait is stored automatically and never leaves Didit) or via a portrait you supply on each re-auth.
- A workflow_id from the Workflow Builder. The workflow MUST contain LIVENESS, and the session must be opened with workflow_type = "biometric_authentication" (or use a workflow that has FACE_MATCH and pass a portrait_image at session creation).
STEP 1 — Enrolment (one-time, at user sign-up)
Run a standard KYC session at sign-up. Didit stores the portrait (the face captured during the liveness step) as the user's enrolled template, bound to vendor_data.
POST https://verification.didit.me/v3/session/
Body:
{
"workflow_id": "<your KYC workflow>",
"vendor_data": "<your user id>"
}
No additional code — once the user passes KYC, their enrolled portrait is ready for every future re-auth.
STEP 2 — Re-authentication (on every sensitive action)
POST https://verification.didit.me/v3/session/
Headers:
x-api-key: <your api key>
Content-Type: application/json
Body:
{
"workflow_id": "<your biometric_authentication workflow>",
"workflow_type": "biometric_authentication",
"vendor_data": "<the same user id used at enrolment>",
"callback": "https://<your-app>/2fa/callback",
"metadata": {
"reason": "<login_new_device | high_value_txn | settings_change | account_recovery>",
"amount": "<optional, for large-value transfers>"
},
"portrait_image": "<base64 JPEG of the user's enrolment selfie, ≤ 1 MB — REQUIRED when the workflow has FACE_MATCH active; OMIT for liveness-only mode>"
}
Response: 201 Created with the hosted session_url. Redirect the user to it. The hosted UI:
- Opens the front camera
- Captures one passive frame
- Runs Liveness + Face Match 1:1 against the user's enrolled portrait
- Returns the verdict in sub-2-seconds
STEP 3 — Read the signed verdict on the webhook
Body (excerpted for a passing re-auth):
{
"session_id": "<uuid>",
"vendor_data": "<your user id>",
"status": "Approved",
"liveness": { "status": "Approved", "method": "PASSIVE", "score": 96 },
"face": {
"status": "Approved",
"similarity_score": 0.96
}
}
Verify X-Signature-V2 BEFORE trusting the body — HMAC SHA-256 of the raw bytes with your webhook secret.
Session status enum (exact case): Approved | Declined | In Review | Resubmitted | Expired | Not Finished | Kyc Expired | Abandoned.
Branch your application:
Approved → execute the action (sign in, release the transfer, save settings).
Declined → block the action, re-prompt with a higher-friction recovery path (support contact / KYC re-do).
In Review → hold; route to your operations queue.
Not Finished → user abandoned the capture; safe to re-prompt or fall back.
STEP 4 — Alternate path (server-to-server, when you already have the selfie)
If you already captured the selfie locally (native mobile SDK, in-app camera):
POST https://verification.didit.me/v3/face-match/
Headers:
x-api-key: <your api key>
Body (multipart/form-data):
image_a <the live selfie>
image_b <the enrolled portrait>
Response: similarity_score (0-1), status (Approved | Declined | In Review).
Use the standalone path only when you trust your client-side capture pipeline. For browser flows or any surface where the SDK is not embedded, always prefer the hosted session — Didit's liveness check is harder to defeat than a raw camera grab.
WEBHOOK EVENT NAMES
- Sessions: status changes flow through the standard session webhook.
- Always verify X-Signature-V2 on every payload.
CONSTRAINTS
- Base URL for /v3/* endpoints is verification.didit.me (NOT apx.didit.me).
- Feature enum is UPPERCASE: LIVENESS, FACE_MATCH, ID_VERIFICATION, AML, IP_ANALYSIS, AGE_ESTIMATION.
- Method enum is UPPERCASE: PASSIVE, FLASHING, ACTIVE_3D.
- Auth header is x-api-key (lowercase, hyphenated).
- Webhook signature header is X-Signature-V2 (NOT X-Signature).
- Status casing matches exactly: Approved, Declined, In Review, Expired, Not Finished, Resubmitted, Kyc Expired, Abandoned.
- The biometric template is irreversible (a one-way hash) and stored on Didit's infrastructure. You never receive the raw template. Standard data-subject-deletion rules apply.
PRO TIPS
- Pair Biometric 2FA with Device & IP Analysis (bundled into the 200+ fraud-signal stack). A re-auth that originates from a brand-new device + a brand-new IP should always step up to face.
- For the strongest possible surface, swap method PASSIVE for ACTIVE_3D — a short motion challenge — on transfers above your operational risk threshold.
Read the docs:
- https://docs.didit.me/core-technology/biometric-auth/overview
- https://docs.didit.me/sessions-api/create-session
- https://docs.didit.me/integration/webhooks
Start free at https://business.didit.me — sandbox key in 60 seconds, 500 verifications free every month, no credit card.$0 / mês. Não é necessário cartão de crédito.
Pague apenas pelo que usar. Mais de 25 módulos. Preços públicos por módulo, sem taxa mínima mensal.
MSA e SLA personalizados. Para grandes volumes e programas regulamentados.
Comece grátis → pague apenas quando uma verificação for executada → desbloqueie o Enterprise para um contrato personalizado, SLA ou residência de dados.
Didit é infraestrutura para identidade e fraude — a plataforma que gostaríamos que existisse quando estávamos construindo produtos nós mesmos: aberta, flexível e amigável para desenvolvedores, para que funcione como uma parte real da sua pilha, em vez de uma caixa preta que você integra por fora.
Uma API cobre a verificação de pessoas (KYC, know your customer), verificação de empresas (KYB, know your business), triagem de carteiras de cripto (KYT, know your transaction), e monitoramento de transações em tempo real — em uma pilha construída para ser:
A base subjacente: mais de 14.000 tipos de documentos em mais de 48 idiomas, mais de 1.000 fontes de dados, e mais de 200 sinais de fraude em cada sessão. A infraestrutura Didit aprende dinamicamente de cada sessão e melhora a cada dia.
Autenticação de segundo fator usando o rosto do usuário, não um código enviado pela rede. O primeiro fator é o que o usuário sabe (senha, chave de acesso, link mágico). O segundo fator é o que o usuário é — uma selfie ao vivo comparada 1:1 com um retrato que o usuário cadastrou anteriormente.
Ele se encaixa no mesmo lugar que a senha de uso único por SMS (OTP) no fluxo da sua aplicação, mas com um custo, segurança e perfil de conversão diferentes.
Quatro classes de ataque bem documentadas a derrotam. O Federal Bureau of Investigation (FBI) dos EUA e o National Cyber Security Centre (NCSC) do Reino Unido publicaram orientações afastando as organizações do SMS para fluxos sensíveis.
O fluxo completo normalmente leva menos de 30 segundos de ponta a ponta — pegar o documento de identidade, tirar foto do documento, tirar a selfie, pronto. Essa é a mais rápida do mercado. Provedores de KYC legados geralmente levam mais de 90 segundos para o mesmo fluxo.
No back-end, Didit retorna o resultado em menos de dois segundos no p99, medido desde o momento em que o usuário termina a selfie até o momento em que seu webhook é acionado. A captura móvel é ajustada para telefones lentos e redes lentas: compressão progressiva de imagem, carregamento lento do kit de desenvolvimento de software, e uma transferência com um toque do desktop para o telefone via código QR se o usuário começar na web.
A maioria das equipes cadastra durante a sessão original de Know Your Customer (KYC) do usuário. O retrato capturado pela etapa de vivacidade é armazenado vinculado aos seus vendor_data e usado como modelo para cada reautenticação subsequente.
Se você não executa KYC no momento do cadastro, pode executar uma sessão de cadastro única em um fluxo Didit que contém apenas LIVENESS + FACE_MATCH. Qualquer um dos caminhos custa $0.10 uma vez, e o modelo resultante é reutilizável para cada autenticação futura.
Cada sessão chega a um de sete status claros, para que seu código sempre saiba o que fazer:
Approved — todas as verificações passaram. Avance o usuário.Declined — uma ou mais verificações falharam. Você pode permitir que o usuário reenvie a etapa específica que falhou (por exemplo, tire a selfie novamente) sem refazer todo o fluxo.In Review — sinalizado para revisão de conformidade. Abra o caso no console, veja todos os sinais, decida aprovar ou recusar.In Progress — o usuário está no meio do fluxo.Not Started — link enviado, o usuário ainda não o abriu. Envie um lembrete se demorar muito.Abandoned — o usuário abriu o link, mas não terminou a tempo. Reengaje ou expire.Expired — o link da sessão expirou. Crie uma nova sessão.Um webhook assinado é acionado a cada mudança de status, para que seu banco de dados esteja sempre sincronizado. Sessões abandonadas e recusadas são gratuitas.
Os dados de produção são processados e armazenados na União Europeia por padrão, na Amazon Web Services. Contratos empresariais podem solicitar regiões alternativas para jurisdições cujos reguladores o exijam.
Criptografia em todos os lugares. AES-256 em repouso em cada banco de dados, armazenamento de objetos e backup. Transport Layer Security 1.3 em trânsito em cada chamada de API, webhook e sessão do Business Console. Dados biométricos são criptografados sob uma Customer Master Key separada.
A retenção é sua para controlar. A retenção padrão é indefinida (ilimitada), a menos que você configure um período menor — entre 30 dias e 10 anos por aplicação — e você pode excluir qualquer sessão individual a qualquer momento do painel ou da API.
Certificações: SOC 2 Tipo 1 (auditoria Tipo 2 em andamento), ISO/IEC 27001:2022, iBeta Nível 1 PAD, e uma atestação pública do Tesoro / SEPBLAC / CNMV da Espanha de que a verificação de identidade remota da Didit é mais segura do que verificar alguém pessoalmente. Relatório completo em /security-compliance.
Didit está em conformidade por padrão para os reguladores que importam para a infraestrutura de identidade:
Memorando detalhado, todos os certificados, todas as cartas regulatórias: /security-compliance.
Três caminhos de integração — escolha o que melhor se adapta à sua pilha:
Mesmo painel, mesma cobrança, mesmo preço por sucesso para todos os três. Guia passo a passo em docs.didit.me/integration/integration-prompt.
É um substituto direto para o seu contrato de callback de senha de uso único existente.
POST /v3/session/ com workflow_type: "biometric_authentication" e os mesmos vendor_data que você usou no cadastro.session_url retornado.X-Signature-V2 no webhook antes de confiar no corpo.status — Approved (execute a ação), Declined (bloqueie), In Review (enfileire), Not Finished (solicite novamente).A maioria das equipes troca SMS por reconhecimento facial em um fim de semana. O prompt completo que pode ser colado no agente está acima; o servidor Model Context Protocol (MCP) fala com ambas as superfícies.
O Face Match 1:1 é robusto a mudanças moderadas na aparência — pelos faciais, óculos, cor do cabelo, iluminação. A pontuação de similaridade retornada por autenticação reflete a confiança do modelo.
Para usuários que se afastam do limite de aprovação automática (caso típico: mudança drástica de peso, cirurgia, envelhecimento ao longo de muitos anos), o veredito retorna In Review e é encaminhado para sua fila de operações. O caminho de recuperação padrão é uma sessão de recadastro — uma chamada KYC atualiza o retrato, e a próxima autenticação usa o novo modelo.
Sim, para a categoria de inerência. Os Padrões Técnicos Regulatórios da Autoridade Bancária Europeia sobre Autenticação Forte de Cliente reconhecem atributos biométricos (algo que você é) como um segundo fator válido quando combinado com uma das outras duas categorias (conhecimento ou posse).
Para um fluxo completo de autenticação forte de cliente PSD2, combine o 2FA biométrico com a senha do usuário (conhecimento) ou uma sessão vinculada ao dispositivo (posse). O veredito assinado da Didit é a evidência do pacote de auditoria do fator de inerência.
Uma API para KYC, KYB, Monitoramento de Transações e Triagem de Carteira. Integre em 5 minutos.