Усильте защиту конфиденциальных операций с помощью сопоставления лица менее чем за 2 секунды с зарегистрированным портретом. Устойчив к фишингу. Защищен от подмены SIM-карты. $0.10 за аутентификацию. 500 проверок бесплатно каждый месяц.
Доверяют более 2000 организаций по всему миру.
Устойчив к фишингу · Защищен от подмены SIM-карты
Второй фактор — это лицо пользователя, сопоставленное 1:1 с портретом, который он зарегистрировал при входе. Проверка живости блокирует атаки с использованием печати / повторного воспроизведения / маски / генеративно-состязательной сети (GAN) на том же кадре. Вердикт менее чем за 2 секунды на Android начального уровня. $0.10 за аутентификацию. 500 проверок бесплатно каждый месяц.
Выберите необходимые проверки — удостоверение личности, живость, сопоставление лиц, санкции, адрес, возраст, телефон, электронная почта, пользовательские вопросы. Перетащите их в поток на панели управления или отправьте тот же поток в наш API. Разветвляйте по условиям, проводите A/B-тесты, код не требуется.
Встраивайте нативно с помощью наших SDK для Web, iOS, Android, React Native или Flutter. Перенаправляйте на размещенную страницу. Или просто отправьте пользователю ссылку — по электронной почте, SMS, WhatsApp, где угодно. Выберите то, что подходит вашему стеку.
Didit размещает камеру, подсказки по освещению, мобильную передачу и доступность. Пока пользователь находится в процессе, мы оцениваем более 200 сигналов мошенничества в реальном времени и проверяем каждое поле по авторитетным источникам данных. Результат менее чем за две секунды.
Подписанные веб-хуки в реальном времени синхронизируют вашу базу данных в тот момент, когда пользователь одобрен, отклонен или отправлен на проверку. Опрашивайте API по запросу. Или откройте консоль, чтобы проверить каждую сессию, каждый сигнал и управлять случаями по своему усмотрению.
Didit · Биометрическая аутентификация
Подтвердить перевод
Покажите свое лицо для авторизации
Didit · Сопоставление лиц 1:1
Зарегистрирован
Сходство
0.96
СовпадениеВ реальном времени
Didit · Матрица атак
Didit · Триггеры повышения уровня
Didit · Вебхук · X-Signature-V2
Полезная нагрузка
{
"session_id": "<uuid>",
"vendor_data": "user-42",
"status": "Approved",
"face": {
"status": "Approved",
"similarity_score": 0.96
}
}Didit · Экономика
$ curl -X POST https://verification.didit.me/v3/session/ \
-H "x-api-key: $DIDIT_API_KEY" \
-d '{
"workflow_id": "wf_bio_2fa",
"workflow_type": "biometric_authentication",
"vendor_data": "user-42",
// base64 reference selfie, ≤ 1MB (omit for liveness-only)
"portrait_image": "/9j/4AAQSkZJRgABAQE..."
}'LIVENESS + FACE_MATCH по предоставленному portrait_image.документы →$ curl -X POST https://verification.didit.me/v3/face-match/ \
-H "x-api-key: $DIDIT_API_KEY" \
-F "image_a=@live.jpg" \
-F "image_b=@enrolled.jpg"You are integrating Didit's Biometric 2FA into <my_stack>. Replace SMS one-time-password (OTP) on sensitive flows — login from a new device, large-value transfer, settings change, account recovery — with a sub-2-second face match against the user's enrolled portrait. Cheaper than SMS. Phishing-resistant. SIM-swap-proof.
1. Enrol the user's portrait ONCE at sign-up via the standard Know Your Customer (KYC) session.
2. On every sensitive action, open a Biometric Authentication session that runs Passive Liveness + Face Match 1:1 against the stored portrait. Verdict in sub-2-seconds.
Pricing (public):
- Biometric Authentication: $0.10 per authentication (Sessions API)
- Standalone Face Match 1:1: $0.05 per match (server-to-server)
- First 500 verifications free every month, forever
PRE-REQUISITES
- Production API key from https://business.didit.me (sandbox key in 60s, no card).
- Webhook endpoint with Hash-based Message Authentication Code (HMAC) SHA-256 verification using the X-Signature-V2 header.
- The user has previously enrolled — either via a full KYC session (recommended; the portrait is stored automatically and never leaves Didit) or via a portrait you supply on each re-auth.
- A workflow_id from the Workflow Builder. The workflow MUST contain LIVENESS, and the session must be opened with workflow_type = "biometric_authentication" (or use a workflow that has FACE_MATCH and pass a portrait_image at session creation).
STEP 1 — Enrolment (one-time, at user sign-up)
Run a standard KYC session at sign-up. Didit stores the portrait (the face captured during the liveness step) as the user's enrolled template, bound to vendor_data.
POST https://verification.didit.me/v3/session/
Body:
{
"workflow_id": "<your KYC workflow>",
"vendor_data": "<your user id>"
}
No additional code — once the user passes KYC, their enrolled portrait is ready for every future re-auth.
STEP 2 — Re-authentication (on every sensitive action)
POST https://verification.didit.me/v3/session/
Headers:
x-api-key: <your api key>
Content-Type: application/json
Body:
{
"workflow_id": "<your biometric_authentication workflow>",
"workflow_type": "biometric_authentication",
"vendor_data": "<the same user id used at enrolment>",
"callback": "https://<your-app>/2fa/callback",
"metadata": {
"reason": "<login_new_device | high_value_txn | settings_change | account_recovery>",
"amount": "<optional, for large-value transfers>"
},
"portrait_image": "<base64 JPEG of the user's enrolment selfie, ≤ 1 MB — REQUIRED when the workflow has FACE_MATCH active; OMIT for liveness-only mode>"
}
Response: 201 Created with the hosted session_url. Redirect the user to it. The hosted UI:
- Opens the front camera
- Captures one passive frame
- Runs Liveness + Face Match 1:1 against the user's enrolled portrait
- Returns the verdict in sub-2-seconds
STEP 3 — Read the signed verdict on the webhook
Body (excerpted for a passing re-auth):
{
"session_id": "<uuid>",
"vendor_data": "<your user id>",
"status": "Approved",
"liveness": { "status": "Approved", "method": "PASSIVE", "score": 96 },
"face": {
"status": "Approved",
"similarity_score": 0.96
}
}
Verify X-Signature-V2 BEFORE trusting the body — HMAC SHA-256 of the raw bytes with your webhook secret.
Session status enum (exact case): Approved | Declined | In Review | Resubmitted | Expired | Not Finished | Kyc Expired | Abandoned.
Branch your application:
Approved → execute the action (sign in, release the transfer, save settings).
Declined → block the action, re-prompt with a higher-friction recovery path (support contact / KYC re-do).
In Review → hold; route to your operations queue.
Not Finished → user abandoned the capture; safe to re-prompt or fall back.
STEP 4 — Alternate path (server-to-server, when you already have the selfie)
If you already captured the selfie locally (native mobile SDK, in-app camera):
POST https://verification.didit.me/v3/face-match/
Headers:
x-api-key: <your api key>
Body (multipart/form-data):
image_a <the live selfie>
image_b <the enrolled portrait>
Response: similarity_score (0-1), status (Approved | Declined | In Review).
Use the standalone path only when you trust your client-side capture pipeline. For browser flows or any surface where the SDK is not embedded, always prefer the hosted session — Didit's liveness check is harder to defeat than a raw camera grab.
WEBHOOK EVENT NAMES
- Sessions: status changes flow through the standard session webhook.
- Always verify X-Signature-V2 on every payload.
CONSTRAINTS
- Base URL for /v3/* endpoints is verification.didit.me (NOT apx.didit.me).
- Feature enum is UPPERCASE: LIVENESS, FACE_MATCH, ID_VERIFICATION, AML, IP_ANALYSIS, AGE_ESTIMATION.
- Method enum is UPPERCASE: PASSIVE, FLASHING, ACTIVE_3D.
- Auth header is x-api-key (lowercase, hyphenated).
- Webhook signature header is X-Signature-V2 (NOT X-Signature).
- Status casing matches exactly: Approved, Declined, In Review, Expired, Not Finished, Resubmitted, Kyc Expired, Abandoned.
- The biometric template is irreversible (a one-way hash) and stored on Didit's infrastructure. You never receive the raw template. Standard data-subject-deletion rules apply.
PRO TIPS
- Pair Biometric 2FA with Device & IP Analysis (bundled into the 200+ fraud-signal stack). A re-auth that originates from a brand-new device + a brand-new IP should always step up to face.
- For the strongest possible surface, swap method PASSIVE for ACTIVE_3D — a short motion challenge — on transfers above your operational risk threshold.
Read the docs:
- https://docs.didit.me/core-technology/biometric-auth/overview
- https://docs.didit.me/sessions-api/create-session
- https://docs.didit.me/integration/webhooks
Start free at https://business.didit.me — sandbox key in 60 seconds, 500 verifications free every month, no credit card.$0 / месяц. Кредитная карта не требуется.
Платите только за то, что используете. Более 25 модулей. Публичные цены за модуль, без ежемесячной минимальной платы.
Индивидуальные MSA и SLA. Для больших объемов и регулируемых программ.
Начните бесплатно → платите только при выполнении проверки → разблокируйте Enterprise для индивидуального контракта, SLA или хранения данных.
Didit — это инфраструктура для идентификации и борьбы с мошенничеством — платформа, которую мы хотели бы иметь, когда сами создавали продукты: открытая, гибкая и удобная для разработчиков, поэтому она работает как реальная часть вашего стека, а не как черный ящик, вокруг которого вы интегрируетесь.
Один API охватывает проверку людей (KYC, знай своего клиента), проверку компаний (KYB, знай свой бизнес), проверку криптокошельков (KYT, знай свою транзакцию) и мониторинг транзакций в реальном времени — на стеке, созданном для того, чтобы быть:
В основе: более 14 000 типов документов на более чем 48 языках, более 1000 источников данных и более 200 сигналов мошенничества в каждой сессии. Инфраструктура Didit динамически учится на каждой сессии и становится лучше с каждым днем.
Двухфакторная аутентификация с использованием лица пользователя, а не кода, отправленного по сети. Первый фактор — это то, что пользователь знает (пароль, ключ доступа, магическая ссылка). Второй фактор — это то, чем пользователь является — живое селфи, сопоставленное 1:1 с портретом, который пользователь зарегистрировал ранее.
Она занимает то же место, что и одноразовый пароль по SMS (OTP) в вашем приложении, но с другой стоимостью, безопасностью и профилем конверсии.
Его побеждают четыре хорошо задокументированных класса атак. Федеральное бюро расследований США (ФБР) и Национальный центр кибербезопасности Великобритании (NCSC) опубликовали рекомендации, отговаривающие организации от использования SMS для конфиденциальных операций.
Полный процесс обычно занимает менее 30 секунд от начала до конца — возьмите удостоверение личности, сфотографируйте документ, сделайте селфи, готово. Это самый быстрый показатель на рынке. Устаревшие поставщики KYC обычно тратят более 90 секунд на тот же процесс.
На бэкэнде Didit возвращает результат менее чем за две секунды при p99, измеряется с момента завершения селфи пользователем до момента срабатывания вашего вебхука. Мобильный захват настроен для медленных телефонов и медленных сетей: прогрессивное сжатие изображений, отложенная загрузка комплекта разработки программного обеспечения и передача одним касанием с настольного компьютера на телефон с помощью QR-кода, если пользователь начинает работу в Интернете.
Большинство команд регистрируют пользователя во время его первоначальной сессии Know Your Customer (KYC). Портрет, полученный на этапе проверки живости, сохраняется привязанным к вашим vendor_data и используется в качестве шаблона для каждой последующей повторной аутентификации.
Если вы не проводите KYC при регистрации, вы можете запустить одноразовую сессию регистрации с рабочим процессом Didit, который содержит только LIVENESS + FACE_MATCH. Любой из этих путей стоит $0.10 один раз, и полученный шаблон можно использовать для каждой будущей аутентификации.
Каждая сессия завершается одним из семи четких статусов, поэтому ваш код всегда знает, что делать:
Approved — все проверки пройдены. Переведите пользователя дальше.Declined — одна или несколько проверок не пройдены. Вы можете разрешить пользователю повторно отправить конкретный неудачный шаг (например, повторно сделать селфи), не перезапуская весь процесс.In Review — помечено для проверки соответствия. Откройте дело в консоли, просмотрите все сигналы, решите одобрить или отклонить.In Progress — пользователь находится в процессе.Not Started — ссылка отправлена, пользователь еще не открыл ее. Отправьте напоминание, если она слишком долго не открывается.Abandoned — пользователь открыл ссылку, но не завершил вовремя. Повторно вовлеките или истеките срок действия.Expired — срок действия ссылки на сессию истек. Создайте новую сессию.Подписанный вебхук срабатывает при каждом изменении статуса, поэтому ваша база данных всегда остается синхронизированной. Отмененные и отклоненные сессии бесплатны.
Производственные данные по умолчанию обрабатываются и хранятся в Европейском Союзе на Amazon Web Services. Корпоративные контракты могут запрашивать альтернативные регионы для юрисдикций, регуляторы которых этого требуют.
Шифрование повсюду. AES-256 в состоянии покоя для каждой базы данных, хранилища объектов и резервной копии. Transport Layer Security 1.3 при передаче для каждого вызова API, вебхука и сессии Business Console. Биометрические данные шифруются с помощью отдельного Customer Master Key.
Срок хранения находится под вашим контролем. Срок хранения по умолчанию бессрочный (неограниченный), если вы не настроите более короткий — от 30 дней до 10 лет для каждого приложения — и вы можете удалить любую отдельную сессию в любое время с панели управления или через API.
Сертификаты: SOC 2 Type 1 (аудит Type 2 в процессе), ISO/IEC 27001:2022, iBeta Level 1 PAD и публичное подтверждение от Tesoro / SEPBLAC / CNMV Испании о том, что удаленная проверка личности Didit безопаснее, чем личная проверка. Полный отчет на /security-compliance.
Didit по умолчанию соответствует требованиям регуляторов, которые важны для инфраструктуры идентификации:
Подробная записка, каждый сертификат, каждое письмо регулятора: /security-compliance.
Три пути интеграции — выберите тот, который подходит вашему стеку:
Та же панель управления, то же выставление счетов, та же цена за успешную операцию для всех трех. Пошаговое руководство на docs.didit.me/integration/integration-prompt.
Это замена для вашего существующего контракта обратного вызова одноразового пароля.
POST /v3/session/ с workflow_type: "biometric_authentication" и теми же vendor_data, которые вы использовали при регистрации.session_url.X-Signature-V2 в вебхуке, прежде чем доверять телу.status — Approved (выполнить действие), Declined (заблокировать), In Review (поставить в очередь), Not Finished (повторно запросить).Большинство команд меняют SMS на лицо за выходные. Полная подсказка, которую можно вставить в агент, приведена выше; сервер Model Context Protocol (MCP) поддерживает обе поверхности.
Сопоставление лиц 1:1 устойчиво к умеренным изменениям внешности — растительность на лице, очки, цвет волос, освещение. Оценка сходства, возвращаемая при каждой аутентификации, отражает уверенность модели.
Для пользователей, которые выходят за пределы порога автоматического одобрения (типичный случай: резкое изменение веса, операция, старение в течение многих лет), вердикт возвращает In Review и направляется в вашу очередь операций. Стандартный путь восстановления — сессия повторной регистрации — один вызов KYC обновляет портрет, и следующая аутентификация использует новый шаблон.
Да, для категории присущности. Регуляторные технические стандарты Европейского банковского управления по строгой аутентификации клиентов признают биометрические атрибуты (то, чем вы являетесь) в качестве действительного второго фактора в сочетании с одной из двух других категорий (знание или владение).
Для полного потока строгой аутентификации клиентов PSD2 объедините биометрическую 2FA с паролем пользователя (знание) или сессией, привязанной к устройству (владение). Подписанный вердикт Didit является доказательством фактора присущности для аудита.
Единый API для KYC, KYB, мониторинга транзакций и проверки кошельков. Интеграция за 5 минут.