Substitua perguntas de segurança e códigos de uso único por SMS por uma re-correspondência biométrica contra a selfie de cadastro. Veredito em menos de 2 segundos, ~$0.15 por recuperação, certificado iBeta Nível 1.
Robinhood Ventures
Confiado por mais de 2.000 organizações em todo o mundo.
Por que a checagem facial é melhor que SMS
SIM-swap derrota códigos SMS de uso único. Phishing derrota perguntas de segurança. Atendentes de suporte se perdem sob pressão. Uma correspondência facial ao vivo com a selfie de cadastro derrota todos os três — por $0.15 por recuperação, veredicto em menos de dois segundos, 500 grátis todo mês.
Escolha as verificações que você quer — ID, prova de vida, correspondência facial, sanções, endereço, idade, telefone, e-mail, perguntas personalizadas. Arraste-as para um fluxo no painel, ou publique o mesmo fluxo na nossa API. Crie ramificações com base em condições, execute testes A/B, sem precisar de código.
Incorpore nativamente com nossos SDKs para Web, iOS, Android, React Native ou Flutter. Redirecione para uma página hospedada. Ou simplesmente envie um link ao seu usuário — por e-mail, SMS, WhatsApp, onde quiser. Escolha o que melhor se adapta à sua stack.
A Didit hospeda a câmera, as dicas de iluminação, a transição para o celular e a acessibilidade. Enquanto o usuário está no fluxo, pontuamos mais de 200 sinais de fraude em tempo real e verificamos cada campo contra fontes de dados autorizadas. Resultado em menos de dois segundos.
Webhooks assinados em tempo real mantêm seu banco de dados sincronizado no momento em que um usuário é aprovado, recusado ou enviado para revisão. Consulte a API sob demanda. Ou abra o console para inspecionar cada sessão, cada sinal e gerenciar casos do seu jeito.
Didit · Face Match 1:1
Registro
Recuperação
Didit · Prova de Vida Passiva
Didit · Política de Step-up
Didit · Fallbacks
Didit · Registro de auditoria
Didit · Política de sessão
$ curl -X POST https://verification.didit.me/v3/session/ \
-H "x-api-key: $DIDIT_API_KEY" \
-H "Content-Type: application/json" \
-d '{
"workflow_id": "wf_account_recovery",
"vendor_data": "user-7382",
"metadata": { "trigger": "forgot_password" },
// base64 enrolment selfie, ≤ 1MB
"portrait_image": "/9j/4AAQSkZJRgABAQE..."
}'status: Approved.docs →// X-Signature-V2 verified upstream
if (payload.status === "Approved") {
sendPasswordResetEmail(payload.vendor_data);
registerNewDevice(payload.metadata);
} else if (payload.status === "Declined") {
security.logRecoveryAttack(payload);
}X-Signature-V2 antes de ler o payload.docs →You are integrating Didit into an account-recovery flow. Replace knowledge-based recovery (security questions, SMS OTP, support-rep verification) with a biometric re-match against the user's enrolment selfie. ONE Didit session, two checks:
- Passive Liveness — make sure the recovery selfie is a real human, not a print / screen / mask / deepfake.
- Face Match 1:1 — match the recovery selfie against the user's enrolment selfie. If similarity is above your threshold, the recovery is approved.
Bundle pricing (verified live, 2026-05-16):
- Passive Liveness: $0.10 per recovery
- Face Match 1:1: $0.05 per recovery
- Total: ~$0.15 per recovery — public price, no minimums
- First 500 verifications free every month, forever
- SMS / WhatsApp One-Time Passcode (OTP) fallback: $0.03 per OTP (when biometric isn't possible)
PRE-REQUISITES
- Production API key from https://business.didit.me (sandbox key in 60s, no card).
- Webhook endpoint with HMAC SHA-256 verification using the X-Signature-V2 header.
- User's enrolment selfie on file — captured during initial KYC via a previous /v3/session/. Stored under your tenant in encrypted form.
- A workflow_id from the Workflow Builder that runs Passive Liveness + Face Match 1:1 against the stored reference.
STEP 1 — Trigger recovery on the right signal
Recovery is gated by your risk policy. Typical triggers:
- User clicks "Forgot password" — always.
- Sign-in from a new device + new IP country at the same time.
- Sign-in after account dormancy (e.g. 180+ days).
- Sensitive action: large withdrawal, payout to a new beneficiary, account-settings change.
Each trigger opens a Didit session.
STEP 2 — Open the recovery session
POST https://verification.didit.me/v3/session/
Headers:
x-api-key: <your api key>
Content-Type: application/json
Body:
{
"workflow_id": "<wf id with Passive Liveness + Face Match against enrolment selfie>",
"vendor_data": "<your user id, max 256 chars>",
"callback": "https://<your-app>/account/recovery/callback",
"metadata": {
"trigger": "forgot_password",
"device_fingerprint": "<your device fingerprint>",
"ip_country": "ES"
},
"portrait_image": "<base64 JPEG of the user's enrolment selfie, ≤ 1 MB — REQUIRED when the workflow has FACE_MATCH active; the recovery flow matches the new live selfie against this stored reference>"
}
Response: 201 Created with a hosted session URL. Redirect the user (web or in-app webview) to the URL. Sub-2-second median verdict on completion.
STEP 3 — Read the signed webhook on the verdict
Didit POSTs to your callback. Session statuses are Title Case With Spaces:
Body (excerpted):
{
"session_id": "<uuid>",
"vendor_data": "<your user id>",
"status": "Approved",
"liveness": { "status": "Approved" },
"face": { "status": "Approved", "similarity_score": 0.94 }
}
Status enum (exact case): Approved | Declined | In Review | Resubmitted | Expired | Not Finished | Kyc Expired | Abandoned.
Verify the X-Signature-V2 header BEFORE reading the body — HMAC SHA-256 of the raw bytes with your webhook secret.
STEP 4 — Branch on the verdict
Approved → unlock recovery: send the password-reset email, register the new device, complete the sensitive action.
In Review → soft-fail the recovery, route to support for human review.
Declined → block the recovery; log the hit. Could be a printed-photo or screen-replay attack — surface to security.
Resubmitted → user retried after a soft rejection — re-read.
Kyc Expired → reference selfie has aged out (per your retention policy) — fall back to documented recovery flow.
STEP 5 — Fallback for users who can't take a selfie
Camera missing, low light, hardware refused permission. Two graceful fallbacks:
- SMS / WhatsApp / Telegram One-Time Passcode (OTP) via Didit Phone Verification, $0.03 per OTP.
- Email magic link via your existing transactional email provider, $0.03 per email.
- Authenticator app — Time-based One-Time Password (TOTP) or FIDO2 hardware key, free.
Configure the fallback chain in the Workflow Builder. Selfie always tried first.
WEBHOOK EVENT NAMES
- Sessions: status changes flow through the standard session webhook.
Verify X-Signature-V2 on every payload.
CONSTRAINTS
- Session statuses use Title Case With Spaces (Approved, In Review). Do not lowercase or snake_case them.
- The recovery similarity threshold is configurable per app — start at 0.85, tune up for high-assurance apps (banks, brokerages) and down for low-friction consumer apps.
- Liveness is a Presentation Attack Detection (PAD) Level 1 model — defeats prints, screens, masks, deepfakes on consumer cameras. Active liveness (head-tilt prompts) is available for higher-friction higher-assurance flows at $0.15.
- The user's enrolment selfie must have been captured by Didit (any prior /v3/session/ with face capture). Bring-your-own enrolment image is roadmap.
- Default audit retention is 5 years configurable in the Business Console.
Read the docs:
- https://docs.didit.me/sessions-api/create-session
- https://docs.didit.me/core-technology/face-match/overview
- https://docs.didit.me/core-technology/liveness/overview
- https://docs.didit.me/integration/webhooks
Start free at https://business.didit.me — sandbox key in 60 seconds, 500 verifications free every month, no credit card.$0 / mês. Não precisa de cartão de crédito.
Pague apenas pelo que usar. Mais de 25 módulos. Preços públicos por módulo, sem taxa mínima mensal.
MSA e SLA personalizados. Para grandes volumes e programas regulamentados.
Comece grátis → pague apenas quando uma verificação for executada → desbloqueie o Enterprise para um contrato personalizado, SLA ou residência de dados.
A Didit é uma infraestrutura para identidade e fraude — a plataforma que gostaríamos que existisse quando estávamos construindo nossos próprios produtos: aberta, flexível e amigável para desenvolvedores, para que funcione como uma parte real da sua stack, em vez de uma caixa preta que você integra por fora.
Uma única API cobre a verificação de pessoas (KYC, know your customer), a verificação de empresas (KYB, know your business), a triagem de carteiras de cripto (KYT, know your transaction), e o monitoramento de transações em tempo real — em uma stack construída para ser:
A base por trás: mais de 14.000 tipos de documentos em mais de 48 idiomas, mais de 1.000 fontes de dados e mais de 200 sinais de fraude em cada sessão. A infraestrutura da Didit aprende dinamicamente com cada sessão e melhora a cada dia.
Porque o fluxo de recuperação é o lugar mais fácil para contornar a autenticação. O usuário esqueceu a senha — por definição, você não pode pedi-la. A maioria dos aplicativos recorre a:
Uma correspondência facial ao vivo com a selfie de cadastro derrota todos os quatro.
Três problemas estruturais que não vão desaparecer:
O National Institute of Standards and Technology (NIST) dos EUA recomendou explicitamente contra o SMS para recuperação de alta segurança desde 2017 (SP 800-63B).
O fluxo completo normalmente leva menos de 30 segundos de ponta a ponta — pegue o documento, tire a foto do documento, tire a selfie, pronto. Essa é a velocidade mais rápida do mercado. Provedores de KYC legados geralmente levam mais de 90 segundos para o mesmo fluxo.
No back-end, a Didit retorna o resultado em menos de dois segundos no p99, medido a partir do momento em que o usuário termina a selfie até o momento em que seu webhook é acionado. A captura móvel é otimizada para telefones lentos e redes lentas: compressão progressiva de imagem, carregamento preguiçoso do kit de desenvolvimento de software e uma transferência com um toque do desktop para o telefone via código QR se o usuário começar na web.
Dois cenários:
/v3/session/ com Verificação de ID + Face Match + Liveness, armazene a selfie verificada no registro do usuário. Custo: $0.33 (pacote KYC completo).Trazer sua própria imagem de cadastro — seu corpus de selfies existente — está no roadmap.
Cada sessão chega a um dos sete status claros, para que seu código sempre saiba o que fazer:
Approved — todas as verificações aprovadas. Avance o usuário.Declined — uma ou mais verificações falharam. Você pode permitir que o usuário reenvie a etapa específica que falhou (por exemplo, tire a selfie novamente) sem executar todo o fluxo novamente.In Review — sinalizado para revisão de conformidade. Abra o caso no console, veja todos os sinais, decida aprovar ou recusar.In Progress — o usuário está no meio do fluxo.Not Started — link enviado, o usuário ainda não o abriu. Envie um lembrete se demorar muito.Abandoned — o usuário abriu o link, mas não terminou a tempo. Reengaje ou expire.Expired — o link da sessão expirou. Crie uma nova sessão.Um webhook assinado é acionado em cada mudança de status, para que seu banco de dados esteja sempre sincronizado. Sessões abandonadas e recusadas são gratuitas.
Por padrão, os dados de produção são processados e armazenados na União Europeia, na Amazon Web Services. Contratos empresariais podem solicitar regiões alternativas para jurisdições que exigem isso.
Criptografia em todos os lugares. AES-256 em repouso em todos os bancos de dados, armazenamentos de objetos e backups. Transport Layer Security 1.3 em trânsito em cada chamada de API, webhook e sessão do Business Console. Dados biométricos são criptografados sob uma Customer Master Key separada.
A retenção é sua para controlar. A retenção padrão é indefinida (ilimitada), a menos que você configure um período menor — entre 30 dias e 10 anos por aplicação — e você pode excluir qualquer sessão individual a qualquer momento pelo painel ou pela API.
Certificações: SOC 2 Tipo 1 (auditoria Tipo 2 em andamento), ISO/IEC 27001:2022, iBeta Nível 1 PAD, e uma declaração pública do Tesoro / SEPBLAC / CNMV da Espanha de que a verificação de identidade remota da Didit é mais segura do que verificar alguém presencialmente. Relatório completo em /security-compliance.
A Didit já vem em conformidade por padrão com os reguladores importantes para a infraestrutura de identidade:
Memorando detalhado, todos os certificados, todas as cartas regulatórias: /security-compliance.
Três caminhos de integração — escolha o que melhor se adapta à sua stack:
Mesmo painel, mesma cobrança, mesmo preço de pagamento por sucesso para todos os três. Guia passo a passo em docs.didit.me/integration/integration-prompt.
A Prova de Vida Passiva derrota deepfakes de nível de consumidor hoje. O modelo de Detecção de Ataque de Apresentação (PAD) procura por:
O modelo PAD da Didit é certificado iBeta Nível 1. A Prova de Vida Ativa ($0.15) adiciona prompts de inclinação da cabeça para maior segurança contra deepfakes profissionais raros em tempo real.
A defesa contra deepfakes é uma corrida armamentista — a Didit retreina o modelo PAD trimestralmente contra os mais recentes ataques.
Sim — isso é Autenticação Biométrica, um padrão de reautenticação recorrente. $0.10 por autenticação:
Mesmo contrato /v3/session/, workflow_id diferente. Comum para exchanges de criptomoedas, aplicativos bancários e produtos de consumo de alta segurança. Veja /products/biometric-authentication para o padrão de autenticação recorrente.
Cada tentativa de recuperação registra:
vendor_data (seu identificador de usuário) e o session_id da Didit.trigger que você passou em metadata (forgot_password / new_device / dormancy / sensitive_action).Pesquisável no Business Console, exportável por usuário, retenção configurável por 5 anos. Controles SOC 2 Tipo 1 + ISO 27001 governam o armazenamento.
Uma API para KYC, KYB, Monitoramento de Transações e Análise de Carteiras. Integre em 5 minutos.