Aumente a segurança de fluxos sensíveis com uma correspondência facial em menos de 2 segundos com o retrato registado. Resistente a phishing. À prova de troca de SIM. $0.10 por autenticação. 500 verificações gratuitas todos os meses.
Confiado por mais de 2.000 organizações em todo o mundo.
Resistente a phishing · À prova de troca de SIM
O segundo fator é o rosto do utilizador, correspondido 1:1 com o retrato que registou no momento da inscrição. A prova de vida bloqueia o ataque de impressão / repetição / máscara / Rede Generativa Adversarial (GAN) no mesmo quadro. Veredito em menos de 2 segundos em Android de nível de entrada. $0.10 por autenticação. 500 verificações gratuitas todos os meses.
Escolha as verificações que deseja — ID, prova de vida, correspondência facial, sanções, endereço, idade, telefone, e-mail, perguntas personalizadas. Arraste-as para um fluxo no painel de controlo, ou publique o mesmo fluxo na nossa API. Ramifique em condições, execute testes A/B, sem necessidade de código.
Incorpore nativamente com o nosso SDK Web, iOS, Android, React Native ou Flutter. Redirecione para uma página alojada. Ou simplesmente envie um link ao seu utilizador — por e-mail, SMS, WhatsApp, em qualquer lugar. Escolha o que melhor se adapta à sua pilha.
Didit aloja a câmara, as indicações de iluminação, a transferência móvel e a acessibilidade. Enquanto o utilizador está no fluxo, pontuamos mais de 200 sinais de fraude em tempo real e verificamos cada campo contra fontes de dados autorizadas. Resultado em menos de dois segundos.
Webhooks assinados em tempo real mantêm a sua base de dados sincronizada no momento em que um utilizador é aprovado, recusado ou enviado para revisão. Consulte a API sob demanda. Ou abra a consola para inspecionar cada sessão, cada sinal e gerir os casos à sua maneira.
Didit · Autenticação biométrica
Confirmar transferência
Mostre o seu rosto para autorizar
Didit · Correspondência facial 1:1
Inscrito
Similaridade
0.96
CorrespondênciaAo vivo
Didit · Matriz de ataque
Didit · Acionadores de step-up
Didit · Webhook · X-Signature-V2
Carga útil
{
"session_id": "<uuid>",
"vendor_data": "user-42",
"status": "Approved",
"face": {
"status": "Approved",
"similarity_score": 0.96
}
}Didit · Economia
$ curl -X POST https://verification.didit.me/v3/session/ \
-H "x-api-key: $DIDIT_API_KEY" \
-d '{
"workflow_id": "wf_bio_2fa",
"workflow_type": "biometric_authentication",
"vendor_data": "user-42",
// base64 reference selfie, ≤ 1MB (omit for liveness-only)
"portrait_image": "/9j/4AAQSkZJRgABAQE..."
}'LIVENESS + FACE_MATCH contra a portrait_image fornecida.docs →$ curl -X POST https://verification.didit.me/v3/face-match/ \
-H "x-api-key: $DIDIT_API_KEY" \
-F "image_a=@live.jpg" \
-F "image_b=@enrolled.jpg"You are integrating Didit's Biometric 2FA into <my_stack>. Replace SMS one-time-password (OTP) on sensitive flows — login from a new device, large-value transfer, settings change, account recovery — with a sub-2-second face match against the user's enrolled portrait. Cheaper than SMS. Phishing-resistant. SIM-swap-proof.
1. Enrol the user's portrait ONCE at sign-up via the standard Know Your Customer (KYC) session.
2. On every sensitive action, open a Biometric Authentication session that runs Passive Liveness + Face Match 1:1 against the stored portrait. Verdict in sub-2-seconds.
Pricing (public):
- Biometric Authentication: $0.10 per authentication (Sessions API)
- Standalone Face Match 1:1: $0.05 per match (server-to-server)
- First 500 verifications free every month, forever
PRE-REQUISITES
- Production API key from https://business.didit.me (sandbox key in 60s, no card).
- Webhook endpoint with Hash-based Message Authentication Code (HMAC) SHA-256 verification using the X-Signature-V2 header.
- The user has previously enrolled — either via a full KYC session (recommended; the portrait is stored automatically and never leaves Didit) or via a portrait you supply on each re-auth.
- A workflow_id from the Workflow Builder. The workflow MUST contain LIVENESS, and the session must be opened with workflow_type = "biometric_authentication" (or use a workflow that has FACE_MATCH and pass a portrait_image at session creation).
STEP 1 — Enrolment (one-time, at user sign-up)
Run a standard KYC session at sign-up. Didit stores the portrait (the face captured during the liveness step) as the user's enrolled template, bound to vendor_data.
POST https://verification.didit.me/v3/session/
Body:
{
"workflow_id": "<your KYC workflow>",
"vendor_data": "<your user id>"
}
No additional code — once the user passes KYC, their enrolled portrait is ready for every future re-auth.
STEP 2 — Re-authentication (on every sensitive action)
POST https://verification.didit.me/v3/session/
Headers:
x-api-key: <your api key>
Content-Type: application/json
Body:
{
"workflow_id": "<your biometric_authentication workflow>",
"workflow_type": "biometric_authentication",
"vendor_data": "<the same user id used at enrolment>",
"callback": "https://<your-app>/2fa/callback",
"metadata": {
"reason": "<login_new_device | high_value_txn | settings_change | account_recovery>",
"amount": "<optional, for large-value transfers>"
},
"portrait_image": "<base64 JPEG of the user's enrolment selfie, ≤ 1 MB — REQUIRED when the workflow has FACE_MATCH active; OMIT for liveness-only mode>"
}
Response: 201 Created with the hosted session_url. Redirect the user to it. The hosted UI:
- Opens the front camera
- Captures one passive frame
- Runs Liveness + Face Match 1:1 against the user's enrolled portrait
- Returns the verdict in sub-2-seconds
STEP 3 — Read the signed verdict on the webhook
Body (excerpted for a passing re-auth):
{
"session_id": "<uuid>",
"vendor_data": "<your user id>",
"status": "Approved",
"liveness": { "status": "Approved", "method": "PASSIVE", "score": 96 },
"face": {
"status": "Approved",
"similarity_score": 0.96
}
}
Verify X-Signature-V2 BEFORE trusting the body — HMAC SHA-256 of the raw bytes with your webhook secret.
Session status enum (exact case): Approved | Declined | In Review | Resubmitted | Expired | Not Finished | Kyc Expired | Abandoned.
Branch your application:
Approved → execute the action (sign in, release the transfer, save settings).
Declined → block the action, re-prompt with a higher-friction recovery path (support contact / KYC re-do).
In Review → hold; route to your operations queue.
Not Finished → user abandoned the capture; safe to re-prompt or fall back.
STEP 4 — Alternate path (server-to-server, when you already have the selfie)
If you already captured the selfie locally (native mobile SDK, in-app camera):
POST https://verification.didit.me/v3/face-match/
Headers:
x-api-key: <your api key>
Body (multipart/form-data):
image_a <the live selfie>
image_b <the enrolled portrait>
Response: similarity_score (0-1), status (Approved | Declined | In Review).
Use the standalone path only when you trust your client-side capture pipeline. For browser flows or any surface where the SDK is not embedded, always prefer the hosted session — Didit's liveness check is harder to defeat than a raw camera grab.
WEBHOOK EVENT NAMES
- Sessions: status changes flow through the standard session webhook.
- Always verify X-Signature-V2 on every payload.
CONSTRAINTS
- Base URL for /v3/* endpoints is verification.didit.me (NOT apx.didit.me).
- Feature enum is UPPERCASE: LIVENESS, FACE_MATCH, ID_VERIFICATION, AML, IP_ANALYSIS, AGE_ESTIMATION.
- Method enum is UPPERCASE: PASSIVE, FLASHING, ACTIVE_3D.
- Auth header is x-api-key (lowercase, hyphenated).
- Webhook signature header is X-Signature-V2 (NOT X-Signature).
- Status casing matches exactly: Approved, Declined, In Review, Expired, Not Finished, Resubmitted, Kyc Expired, Abandoned.
- The biometric template is irreversible (a one-way hash) and stored on Didit's infrastructure. You never receive the raw template. Standard data-subject-deletion rules apply.
PRO TIPS
- Pair Biometric 2FA with Device & IP Analysis (bundled into the 200+ fraud-signal stack). A re-auth that originates from a brand-new device + a brand-new IP should always step up to face.
- For the strongest possible surface, swap method PASSIVE for ACTIVE_3D — a short motion challenge — on transfers above your operational risk threshold.
Read the docs:
- https://docs.didit.me/core-technology/biometric-auth/overview
- https://docs.didit.me/sessions-api/create-session
- https://docs.didit.me/integration/webhooks
Start free at https://business.didit.me — sandbox key in 60 seconds, 500 verifications free every month, no credit card.$0 / mês. Não é necessário cartão de crédito.
Pague apenas pelo que usa. Mais de 25 módulos. Preços públicos por módulo, sem taxa mínima mensal.
MSA e SLA personalizados. Para grandes volumes e programas regulados.
Comece gratuitamente → pague apenas quando uma verificação for executada → desbloqueie o Enterprise para um contrato personalizado, SLA ou residência de dados.
Didit é infraestrutura para identidade e fraude — a plataforma que gostaríamos que existisse quando estávamos a construir produtos: aberta, flexível e amigável para programadores, para que funcione como uma parte real da sua stack em vez de uma caixa preta que integra à volta.
Uma API abrange a verificação de pessoas (KYC, conheça o seu cliente), a verificação de empresas (KYB, conheça o seu negócio), a triagem de carteiras de criptomoedas (KYT, conheça a sua transação) e a monitorização de transações em tempo real — numa stack construída para ser:
A pegada subjacente: mais de 14.000 tipos de documentos em mais de 48 idiomas, mais de 1.000 fontes de dados e mais de 200 sinais de fraude em cada sessão. A infraestrutura Didit aprende dinamicamente com cada sessão e melhora a cada dia.
Autenticação de segundo fator usando o rosto do utilizador, não um código enviado por uma rede. O primeiro fator é o que o utilizador sabe (palavra-passe, passkey, link mágico). O segundo fator é o que o utilizador é — uma selfie ao vivo correspondida 1:1 contra um retrato que o utilizador registou anteriormente.
Ele ocupa o mesmo lugar que a palavra-passe única por SMS (OTP) no fluxo da sua aplicação, mas com um custo, segurança e perfil de conversão diferentes.
Quatro classes de ataque bem documentadas a derrotam. O Federal Bureau of Investigation (FBI) dos EUA e o National Cyber Security Centre (NCSC) do Reino Unido publicaram orientações que afastam as organizações do SMS para fluxos sensíveis.
O fluxo completo normalmente leva menos de 30 segundos de ponta a ponta — pegar no documento de identificação, tirar foto do documento, tirar a selfie, pronto. Isso é o mais rápido do mercado. Os fornecedores de KYC legados geralmente levam mais de 90 segundos para o mesmo fluxo.
No back-end, Didit retorna o resultado em menos de dois segundos no p99, medido desde o momento em que o utilizador termina a selfie até o momento em que o seu webhook é acionado. A captura móvel é otimizada para telefones lentos e redes lentas: compressão progressiva de imagem, carregamento lento do kit de desenvolvimento de software e uma transferência com um toque do desktop para o telefone via código QR se o utilizador começar na web.
A maioria das equipas regista durante a sessão original de Know Your Customer (KYC) do utilizador. O retrato capturado pela etapa de vivacidade é armazenado vinculado aos seus vendor_data e usado como modelo para cada reautenticação subsequente.
Se não executar KYC no registo, pode executar uma sessão de registo única contra um fluxo de trabalho Didit que contém apenas LIVENESS + FACE_MATCH. Qualquer um dos caminhos custa $0.10 uma vez, e o modelo resultante é reutilizável para cada autenticação futura.
Cada sessão atinge um de sete estados claros, para que o seu código saiba sempre o que fazer:
Approved — todas as verificações passaram. Avance o utilizador.Declined — uma ou mais verificações falharam. Pode permitir que o utilizador reenvie a etapa específica que falhou (por exemplo, tirar novamente a selfie) sem executar novamente todo o fluxo.In Review — sinalizado para revisão de conformidade. Abra o caso na consola, veja todos os sinais, decida aprovar ou recusar.In Progress — o utilizador está a meio do fluxo.Not Started — link enviado, o utilizador ainda não o abriu. Envie um lembrete se demorar muito.Abandoned — o utilizador abriu o link mas não terminou a tempo. Reengaje ou expire.Expired — o link da sessão expirou. Crie uma nova sessão.Um webhook assinado é acionado a cada mudança de estado, para que a sua base de dados esteja sempre sincronizada. As sessões abandonadas e recusadas são gratuitas.
Os dados de produção são processados e armazenados na União Europeia por defeito, na Amazon Web Services. Contratos empresariais podem solicitar regiões alternativas para jurisdições cujos reguladores o exijam.
Criptografia em todo o lado. AES-256 em repouso em todas as bases de dados, armazenamento de objetos e backup. Transport Layer Security 1.3 em trânsito em todas as chamadas de API, webhooks e sessões da Consola de Negócios. Os dados biométricos são criptografados sob uma Customer Master Key separada.
A retenção é sua para controlar. A retenção padrão é indefinida (ilimitada), a menos que configure um período mais curto — entre 30 dias e 10 anos por aplicação — e pode eliminar qualquer sessão individual a qualquer momento a partir do painel de controlo ou da API.
Certificações: SOC 2 Tipo 1 (auditoria Tipo 2 em curso), ISO/IEC 27001:2022, iBeta Nível 1 PAD, e uma atestação pública do Tesoro / SEPBLAC / CNMV de Espanha de que a verificação remota de identidade da Didit é mais segura do que verificar alguém pessoalmente. Relatório completo em /security-compliance.
Didit é compatível por defeito com os reguladores que importam para a infraestrutura de identidade:
Memorando detalhado, todos os certificados, todas as cartas do regulador: /security-compliance.
Três caminhos de integração — escolha o que melhor se adapta à sua stack:
Mesmo painel, mesma faturação, mesmo preço por sucesso para todos os três. Guia passo a passo em docs.didit.me/integration/integration-prompt.
É uma substituição direta para o seu contrato de callback de palavra-passe única existente.
POST /v3/session/ com workflow_type: "biometric_authentication" e os mesmos vendor_data que usou no registo.session_url retornado.X-Signature-V2 no webhook antes de confiar no corpo.status — Approved (execute a ação), Declined (bloqueie), In Review (coloque na fila), Not Finished (solicite novamente).A maioria das equipas troca SMS por rosto num fim de semana. O prompt completo que pode ser colado pelo agente está acima; o servidor Model Context Protocol (MCP) comunica ambas as interfaces.
A correspondência facial 1:1 é robusta a mudanças moderadas de aparência — pelos faciais, óculos, cor do cabelo, iluminação. A pontuação de similaridade retornada por autenticação reflete a confiança do modelo.
Para utilizadores que se afastam do limiar de aprovação automática (caso típico: mudança drástica de peso, cirurgia, envelhecimento ao longo de muitos anos), o veredito retorna In Review e é encaminhado para a sua fila de operações. O caminho de recuperação padrão é uma sessão de novo registo — uma chamada KYC atualiza o retrato, e a próxima autenticação usa o novo modelo.
Sim, para a categoria de inerência. As Normas Técnicas Regulamentares da Autoridade Bancária Europeia sobre Autenticação Forte de Cliente reconhecem os atributos biométricos (algo que se é) como um segundo fator válido quando emparelhados com uma das outras duas categorias (conhecimento ou posse).
Para um fluxo completo de autenticação forte de cliente PSD2, emparelhe o 2FA biométrico com a palavra-passe do utilizador (conhecimento) ou uma sessão vinculada ao dispositivo (posse). O veredito assinado da Didit é a prova auditável do fator de inerência.
Uma API para KYC, KYB, Monitorização de Transações e Rastreio de Carteiras. Integre em 5 minutos.