跳到主要内容
Didit 融资 200 万美元并加入 Y Combinator (W26)
Didit
账户找回

通过人脸识别恢复丢失的账户。

用与注册自拍的生物识别重新匹配,取代安全问题和短信一次性验证码。2秒内出结果,每次找回约 $0.15,通过 iBeta Level 1 认证。

免费开始阅读文档
投资方
Y CombinatorRobinhood Ventures
GBTC Finance
Bondex
Crnogorski Telekom
UCSF Neuroscape
Shiply
Adelantos

全球2,000多家组织信赖。

一张电影般的暗色抽象密码恢复堆栈插图——四个半透明玻璃面板以3D透视浮动在纯黑色背景上,由一条发光的Didit蓝色线条贯穿,并由四个发光扫描支架框住。每个面板上都有一个小的浅白色抽象图案(挂锁轮廓、人脸椭圆、刷新箭头循环、钥匙)。

为什么人脸识别优于短信验证

重新验证身份,而非知识。两秒内完成。

SIM卡互换攻击可绕过短信一次性验证码。网络钓鱼可攻破安全问题。 客服人员在压力下容易出错。而通过实时人脸比对注册自拍,可有效抵御这三种攻击——每次恢复仅需$0.15,两秒内出结果,每月免费500次。

工作原理

从注册到验证用户,仅需四步。

  1. 步骤 01

    创建工作流

    选择您需要的验证项——身份、活体、人脸比对、制裁名单、地址、年龄、电话、邮箱、自定义问题。在控制台中将它们拖入流程,或通过API发布相同流程。支持条件分支、A/B测试,无需代码。

  2. 步骤 02

    集成

    通过我们的Web、iOS、Android、React Native或Flutter SDK进行原生嵌入。重定向到托管页面。或者直接向用户发送链接——通过电子邮件、短信、WhatsApp,任何地方。选择适合您技术栈的方式。

  3. 步骤 03

    用户完成流程

    Didit负责托管摄像头、灯光提示、移动设备切换和辅助功能。在用户进行流程时,我们实时评估200多个欺诈信号,并根据权威数据源验证每个字段。两秒内出结果。

  4. 步骤 04

    接收结果

    实时签名Webhook确保用户批准、拒绝或发送审核时,您的数据库同步更新。按需轮询API。或打开控制台检查每个会话、每个信号,并按您的方式管理案例。

为安全而生 · 基础设施定价

两次验证。一次调用。每次恢复仅需$0.15

恢复并非单一验证,而是一套组合拳。活体检测拒绝攻击,人脸比对批准用户,备用渠道覆盖无摄像头用户。所有这些都通过一次`/v3/session/`调用完成。
阅读文档获取API密钥
01 · 自拍重新认证

匹配恢复自拍。批准用户。

人脸1:1比对将实时自拍与用户存储的注册自拍进行比对。相似度得分高于配置阈值(默认0.85)则批准恢复。每次比对$0.05,两秒内出结果。
人脸1:1比对模块
02 · 活体检测

拒绝打印件、屏幕、面具、深度伪造。

被动活体检测使用演示攻击检测(PAD)信号——无需头部倾斜提示,无摩擦。iBeta一级认证。每次检测$0.10。主动活体检测($0.15)适用于更高安全要求的应用。
活体检测模块
03 · 升级触发器

根据正确的风险信号触发恢复。

忘记密码、新设备登录、新IP国家登录、不活跃、敏感操作。在无代码工作流构建器中按场景配置——高风险触发器直接进行人脸+活体检测,低风险触发器仅进行人脸检测。
工作流编排器
04 · 备用渠道

当无法进行自拍时。

无摄像头、弱光、硬件权限被拒——优雅降级。电话验证(短信/WhatsApp/Telegram一次性密码)每次OTP $0.03,电子邮件魔术链接,基于时间的一次性密码(TOTP)认证应用。自拍始终是首选。
电话验证模块
05 · 审计追踪

每次恢复都有记录。

供应商数据、设备指纹、IP国家、相似度得分、结果——每次恢复尝试均可在业务控制台中搜索,并按案例导出。符合SOC 2 Type 1 + ISO 27001控制标准。
业务控制台
06 · 会话策略

每个应用重新认证频率。

每次登录、每7天、敏感操作时、信号异常时——为每个Didit应用程序选择频率。生物识别认证(每次认证$0.10)将相同的人脸比对原语扩展到循环登录流程中。
生物识别认证模块
集成

一个会话。一个Webhook。恢复轻松搞定。

在适当的触发条件下开启恢复会话。读取签名结果。解锁或升级处理。
POST /v3/session/恢复
$ curl -X POST https://verification.didit.me/v3/session/ \
  -H "x-api-key: $DIDIT_API_KEY" \
  -H "Content-Type: application/json" \
  -d '{
    "workflow_id": "wf_account_recovery",
    "vendor_data": "user-7382",
    "metadata": { "trigger": "forgot_password" },
    // base64 enrolment selfie, ≤ 1MB
    "portrait_image": "/9j/4AAQSkZJRgABAQE..."
  }'
201已创建{ "session_url": "verify.didit.me/..." }
在 webhook 返回 status: Approved 之前,阻止恢复。文档 →
POST /webhooks/didit裁决
// X-Signature-V2 verified upstream
if (payload.status === "Approved") {
  sendPasswordResetEmail(payload.vendor_data);
  registerNewDevice(payload.metadata);
} else if (payload.status === "Declined") {
  security.logRecoveryAttack(payload);
}
200OK状态:已批准 · 已拒绝 · 审核中 · KYC 已过期
读取 payload 前,验证 X-Signature-V2文档 →
代理就绪集成

一键集成账户恢复功能。

粘贴到 Claude Code、Cursor、Codex、Devin、Aider 或 Replit Agent 中。填写您的技术栈。代理将触发器连接、打开会话、读取结果并解锁或升级。
didit-integration-prompt.md
You are integrating Didit into an account-recovery flow. Replace knowledge-based recovery (security questions, SMS OTP, support-rep verification) with a biometric re-match against the user's enrolment selfie. ONE Didit session, two checks:

  - Passive Liveness — make sure the recovery selfie is a real human, not a print / screen / mask / deepfake.
  - Face Match 1:1 — match the recovery selfie against the user's enrolment selfie. If similarity is above your threshold, the recovery is approved.

Bundle pricing (verified live, 2026-05-16):
  - Passive Liveness: $0.10 per recovery
  - Face Match 1:1: $0.05 per recovery
  - Total: ~$0.15 per recovery — public price, no minimums
  - First 500 verifications free every month, forever
  - SMS / WhatsApp One-Time Passcode (OTP) fallback: $0.03 per OTP (when biometric isn't possible)

PRE-REQUISITES
  - Production API key from https://business.didit.me (sandbox key in 60s, no card).
  - Webhook endpoint with HMAC SHA-256 verification using the X-Signature-V2 header.
  - User's enrolment selfie on file — captured during initial KYC via a previous /v3/session/. Stored under your tenant in encrypted form.
  - A workflow_id from the Workflow Builder that runs Passive Liveness + Face Match 1:1 against the stored reference.

STEP 1 — Trigger recovery on the right signal

  Recovery is gated by your risk policy. Typical triggers:

  - User clicks "Forgot password" — always.
  - Sign-in from a new device + new IP country at the same time.
  - Sign-in after account dormancy (e.g. 180+ days).
  - Sensitive action: large withdrawal, payout to a new beneficiary, account-settings change.

  Each trigger opens a Didit session.

STEP 2 — Open the recovery session

  POST https://verification.didit.me/v3/session/
  Headers:
    x-api-key: <your api key>
    Content-Type: application/json
  Body:
    {
      "workflow_id": "<wf id with Passive Liveness + Face Match against enrolment selfie>",
      "vendor_data": "<your user id, max 256 chars>",
      "callback": "https://<your-app>/account/recovery/callback",
      "metadata": {
        "trigger": "forgot_password",
        "device_fingerprint": "<your device fingerprint>",
        "ip_country": "ES"
      },
      "portrait_image": "<base64 JPEG of the user's enrolment selfie, ≤ 1 MB — REQUIRED when the workflow has FACE_MATCH active; the recovery flow matches the new live selfie against this stored reference>"
    }

  Response: 201 Created with a hosted session URL. Redirect the user (web or in-app webview) to the URL. Sub-2-second median verdict on completion.

STEP 3 — Read the signed webhook on the verdict

  Didit POSTs to your callback. Session statuses are Title Case With Spaces:

  Body (excerpted):
    {
      "session_id": "<uuid>",
      "vendor_data": "<your user id>",
      "status": "Approved",
      "liveness": { "status": "Approved" },
      "face": { "status": "Approved", "similarity_score": 0.94 }
    }

  Status enum (exact case): Approved | Declined | In Review | Resubmitted | Expired | Not Finished | Kyc Expired | Abandoned.

  Verify the X-Signature-V2 header BEFORE reading the body — HMAC SHA-256 of the raw bytes with your webhook secret.

STEP 4 — Branch on the verdict

  Approved          → unlock recovery: send the password-reset email, register the new device, complete the sensitive action.
  In Review         → soft-fail the recovery, route to support for human review.
  Declined          → block the recovery; log the hit. Could be a printed-photo or screen-replay attack — surface to security.
  Resubmitted       → user retried after a soft rejection — re-read.
  Kyc Expired       → reference selfie has aged out (per your retention policy) — fall back to documented recovery flow.

STEP 5 — Fallback for users who can't take a selfie

  Camera missing, low light, hardware refused permission. Two graceful fallbacks:

  - SMS / WhatsApp / Telegram One-Time Passcode (OTP) via Didit Phone Verification, $0.03 per OTP.
  - Email magic link via your existing transactional email provider, $0.03 per email.
  - Authenticator app — Time-based One-Time Password (TOTP) or FIDO2 hardware key, free.

  Configure the fallback chain in the Workflow Builder. Selfie always tried first.

WEBHOOK EVENT NAMES
  - Sessions: status changes flow through the standard session webhook.

  Verify X-Signature-V2 on every payload.

CONSTRAINTS
  - Session statuses use Title Case With Spaces (Approved, In Review). Do not lowercase or snake_case them.
  - The recovery similarity threshold is configurable per app — start at 0.85, tune up for high-assurance apps (banks, brokerages) and down for low-friction consumer apps.
  - Liveness is a Presentation Attack Detection (PAD) Level 1 model — defeats prints, screens, masks, deepfakes on consumer cameras. Active liveness (head-tilt prompts) is available for higher-friction higher-assurance flows at $0.15.
  - The user's enrolment selfie must have been captured by Didit (any prior /v3/session/ with face capture). Bring-your-own enrolment image is roadmap.
  - Default audit retention is 5 years configurable in the Business Console.

Read the docs:
  - https://docs.didit.me/sessions-api/create-session
  - https://docs.didit.me/core-technology/face-match/overview
  - https://docs.didit.me/core-technology/liveness/overview
  - https://docs.didit.me/integration/webhooks

Start free at https://business.didit.me — sandbox key in 60 seconds, 500 verifications free every month, no credit card.
需要更多上下文?请参阅完整的模块文档。docs.didit.me →
合规性设计

一键开启新国家/地区业务。 我们为您解决难题。

我们负责设立当地子公司、获取许可证、进行渗透测试、获得认证,并与所有新法规保持一致。要在新国家/地区发布验证服务,只需轻点开关。已覆盖220多个国家/地区,每个季度进行审计和渗透测试——是唯一一个被欧盟成员国政府正式认定比线下验证更安全的身份提供商。
阅读安全与合规性档案
欧盟金融沙盒
Tesoro · SEPBLAC · BdE
ISO/IEC 27001
信息安全 · 2026
SOC 2 · Type I
AICPA · 2026
iBeta Level 1 PAD
NIST / NIAP · 2026
GDPR
EU 2016/679
DORA
EU 2022/2554
MiCA
EU 2023/1114
AMLD6 · eIDAS 2.0
原生符合欧盟标准

数据证明

数据证明
  • ~$0.15
    每次完整恢复检查 — 被动活体检测 + 1:1 人脸比对。
  • <0s
    入门级 Android 设备上,每次会话的端到端结果。
  • iBeta L1
    演示攻击检测 (PAD) 认证 — 可抵御打印件、屏幕、面具、深度伪造。
  • 0
    每个账户每月免费验证。
三个层级,一份价目表

免费开始。按使用量付费。可扩展至企业级。

每月 500 次免费验证,永久有效。生产环境按量付费。企业版提供定制合约、数据驻留和 SLA (Service Level Agreements)。
免费

免费

每月 $0。无需信用卡。

  • 免费 KYC 套件(身份验证 + 被动活体检测 + 人脸匹配 + 设备与 IP 分析)— 每月 500 次,永久有效
  • 黑名单用户
  • 重复检测
  • 每次会话 200+ 欺诈信号
  • Didit 网络中可重复使用的 KYC
  • 案件管理平台
  • 工作流构建器
  • 公开文档、沙盒、SDK、MCP(模型上下文协议)服务器
  • 社区支持
免费开始
最受欢迎
按用量付费

按用量计费

按实际用量付费。25+模块。公开的模块定价,无每月最低费用。

  • 完整KYC $0.33(身份+生物识别+IP/设备)
  • 10,000+ AML数据集 — 制裁、PEP、负面媒体
  • 1,000+ 政府数据源用于数据库验证
  • 交易监控 $0.02/笔交易
  • 实时KYB $2.00/家企业
  • 钱包筛选 $0.15/次检查
  • 白标验证流程 — 您的品牌,我们的基础设施
查看完整价格列表免费开始
企业版

企业版

定制MSA和SLA。适用于大批量和受监管项目。

  • 年度合同
  • 定制MSA、DPA和SLA
  • 专属Slack和WhatsApp频道
  • 按需人工审核员
  • 经销商和白标条款
  • 独家功能和合作伙伴集成
  • 指定CSM、安全审查、合规支持
联系我们

免费开始 → 仅在检查运行时付费 → 解锁企业版以获取定制合约、SLA 或数据驻留。

FAQ

常见问题

Didit 是什么?

Didit 是身份和欺诈基础设施——一个我们自己构建产品时希望存在的平台:开放、灵活且对开发者友好,因此它可以作为您技术栈的真正一部分,而不是一个您需要围绕其集成的黑盒。

一个 API 涵盖了人员验证(KYC了解您的客户)、企业验证(KYB了解您的企业)、加密钱包筛选(KYT了解您的交易)以及实时交易监控——所有这些都建立在一个旨在实现以下目标的堆栈上:

  • 快速 — 每次会话的 p99 均低于 2 秒
  • 可靠 — 已在 220 多个国家/地区1,500 多家公司投入生产
  • 安全 — SOC 2 Type 1、ISO 27001、GDPR 原生,并获得西班牙金融监管机构的正式证明,比现场验证更安全

其底层支持:14,000 多种文档类型,支持 48 种以上语言1,000 多个数据源,以及每次会话的 200 多个欺诈信号。Didit 基础设施会从每次会话中动态学习,并每天都在改进。

为什么密码恢复是安全薄弱点?

因为恢复流程是绕过身份验证最容易的地方。用户忘记了密码——根据定义,您不能要求他们提供密码。大多数应用程序会退回到:

  • 短信 (SMS) 一次性验证码 — 容易被 SIM 卡互换、信令协议 (SS7) 拦截和恶意移动运营商攻破。
  • 安全问题 — 容易被网络钓鱼、社交媒体研究和数据泄露哈希攻破。
  • 电子邮件魔术链接 — 当电子邮件账户本身被盗用时容易被攻破。
  • 支持代表人工验证 — 容易被社会工程和对疲惫客服人员的施压策略攻破。

与注册自拍照进行实时人脸匹配可以击败所有这四种攻击。

短信一次性验证码具体有什么问题?

三个结构性问题,无法解决:

  • SIM 卡互换攻击 — 攻击者说服运营商将号码转移到新的 SIM 卡。然后一次性验证码就会发送到攻击者那里。
  • 信令协议 (SS7) 拦截 — 电信基础设施缺陷允许攻击者从世界任何地方查看任何号码的短信流量。自 2014 年以来已有记录。
  • 双因素认证 (2FA) 提示疲劳 — 用户收到太多验证码,以至于他们会下意识地批准攻击者发起的验证码。

美国国家标准与技术研究院 (NIST) 自 2017 年以来已明确建议不要将短信用于高安全性恢复(SP 800-63B)。

最终用户的验证速度有多快?

整个流程通常在 30 秒内完成——拿起身份证,拍下证件,拍下自拍照,完成。这是市场上最快的速度。传统的 KYC 提供商完成相同流程通常需要超过 90 秒

在后端,Didit 在 p99 情况下两秒内返回结果,从用户完成自拍到您的 webhook 触发。移动端捕获针对慢速手机和慢速网络进行了优化:渐进式图像压缩、延迟加载软件开发工具包,以及如果用户从网页端开始,通过二维码一键从桌面端切换到手机端。

如果用户没有存档的注册自拍照怎么办?

两种情况:

  • 没有自拍照的现有用户 — 首先运行一次性注册流程。使用 ID 验证 + 人脸匹配 + 活体检测打开 /v3/session/,将验证后的自拍照存储在用户记录中。费用:$0.33(完整 KYC 套餐)。
  • 新用户 — 注册自拍照在标准 KYC 入职期间捕获。此后,用户第二次登录即可自动恢复。

自带注册图像——您现有的自拍照语料库——正在开发中。

如果用户失败、放弃或过期会怎样?

每个会话都会落入七种明确状态之一,因此您的代码始终知道该怎么做:

  • Approved — 所有检查通过。让用户继续。
  • Declined — 一项或多项检查失败。您可以允许用户重新提交特定的失败步骤(例如,重新拍摄自拍照),而无需重新运行整个流程。
  • In Review — 标记为合规审查。在控制台中打开案例,查看所有信号,决定批准或拒绝。
  • In Progress — 用户正在流程中。
  • Not Started — 链接已发送,用户尚未打开。如果长时间未打开,发送提醒。
  • Abandoned — 用户打开了链接但未及时完成。重新参与或使其过期。
  • Expired — 会话链接已过期。创建新会话。

每次状态更改都会触发签名 webhook,因此您的数据库始终保持同步。放弃和拒绝的会话是免费的。

我的客户数据存储在哪里?如何受到保护?

生产数据默认在欧盟的 Amazon Web Services 上处理和存储。企业合同可根据监管机构要求,申请在其他区域存储。

全面加密。 所有数据库、对象存储和备份均采用 AES-256 静态加密。每次 API 调用、webhook 和 Business Console 会话传输过程中均采用传输层安全协议 1.3。生物识别数据使用独立的客户主密钥加密。

保留期限由您控制。 默认保留期限为无限期(无限制),除非您配置更短的期限——每个应用程序 30 天到 10 年——您可以随时通过仪表板或 API 删除任何单个会话。

认证:SOC 2 Type 1(Type 2 审计进行中)、ISO/IEC 27001:2022iBeta Level 1 PAD,以及西班牙 Tesoro / SEPBLAC / CNMV 的公开证明,表明 Didit 的远程身份验证比现场验证更安全。完整报告请访问 /security-compliance

Didit 是否符合我所在行业的规定?

Didit 默认符合身份基础设施相关监管机构的要求:

  • GDPR + UK GDPR — 控制器/处理者分离,发布完整的《数据处理协议》,指定主要监管机构(西班牙 AEPD)。
  • AMLD6 + 欧盟 AML 单一规则手册 — 实时筛选 1,300 多个制裁名单、政治公众人物和负面媒体名单。
  • eIDAS 2.0 — 符合欧盟数字身份钱包标准;支持可复用身份。
  • MiCA (Markets in Crypto-Assets) — 适用于加密货币入口、交易所和托管机构。
  • DORA — 数字运营弹性法案,欧盟金融服务运营弹性。
  • BIPA, CUBI, Washington HB 1493, CCPA / CPRA — 美国生物识别隐私(伊利诺伊州、德克萨斯州、华盛顿州)和加州消费者隐私。
  • UK Online Safety Act — 年龄门控和儿童安全义务。
  • FATF Travel Rule — 加密货币转账的发起方和受益方数据,与 IVMS-101 互操作。

详细备忘录、所有证书、所有监管机构函件:/security-compliance

我能多快完成集成并开始验证用户?
  • 60 秒即可在 business.didit.me 获得沙盒账户——无需信用卡。
  • 5 分钟即可通过 Claude Code、Cursor 或任何编码代理,通过我们的模型上下文协议 (MCP) 服务器完成工作验证。
  • 一个周末即可完成生产就绪的集成,包括签名 webhook 验证、重试和用户被拒绝时的补救流程。

三种集成路径——选择最适合您技术栈的:

  • 使用我们的 Web、iOS、Android、React Native 或 Flutter SDK 原生嵌入
  • 将用户重定向到托管验证页面——无需 SDK。
  • 通过电子邮件、短信、WhatsApp 或任何渠道发送链接——无需前端工作。

所有三种方式均使用相同的仪表板、相同的计费和相同的按成功付费价格。分步指南请访问 docs.didit.me/integration/integration-prompt

深度伪造怎么办——有人能用 AI 生成的人脸来攻破恢复流程吗?

被动活体检测目前可以抵御消费级深度伪造。演示攻击检测 (PAD) 模型会检查:

  • 纹理伪影 — 屏幕子像素图案、印刷半色调、乳胶镜面高光。
  • 运动时间线索 — 微表情、微扫视、自然眨眼时间。
  • 几何不一致 — 与描绘环境不符的光照、透视倾斜。

Didit 的 PAD 模型已通过 iBeta Level 1 认证。主动活体检测 ($0.15) 增加了头部倾斜提示,可针对罕见的专业级实时深度伪造提供更高保障。

深度伪造防御是一场军备竞赛 — Didit 每季度都会根据最新的攻击语料库重新训练 PAD 模型。

我可以在每次登录时都使用恢复功能吗(真正的生物识别登录)?

可以 — 这就是生物识别认证,一种重复的重新认证模式。每次认证 $0.10:

  • 用户使用其常用用户名登录(无需密码 — 反正他们上周就忘了)。
  • 在 2 秒内完成与注册自拍的人脸匹配。
  • 批准 → 进入。拒绝 → 回退到恢复 + 密码重置。

相同的 /v3/session/ 契约,不同的 workflow_id。常见于加密货币交易所、银行应用和高保障消费产品。有关重复认证模式,请参阅 /products/biometric-authentication

恢复流程如何审计?

每次恢复尝试都会记录:

  • vendor_data(您的用户标识符)和 Didit session_id
  • 设备指纹和互联网协议 (IP) 国家。
  • 您在 metadata 中传递的 trigger(forgot_password / new_device / dormancy / sensitive_action)。
  • 被动活体检测结果和置信度。
  • 人脸匹配相似度得分和结果。
  • Webhook 交付确认。

可在业务控制台搜索,可按用户导出,5 年保留期可配置。SOC 2 Type 1 + ISO 27001 控制措施管理存储。

相关

相关模块 + 工作流

身份与欺诈基础设施。

一个 API 即可实现 KYC、KYB、交易监控和钱包筛选。5 分钟即可集成。

免费开始联系我们
让 AI 总结此页面