Ett biometriskt pass är ett traditionellt papperspass inbäddat med ett mikroprocessorchip och antenn som innehåller biometrisk information som används för att identifiera innehavaren. Kombinationen av mikroprocessorchip och antenn är vanligtvis ett radiofrekvensidentifieringschip (RFID) och använder radiovågor för att byta information med en läsare. RFID-chippet i ett biometriskt pass innehåller vanligtvis all information som är tryckt på det fysiska dokumentet samt en digital ansiktsbild. Den här typen av pass tros förhindra förfalskning och göra det snabbare och säkrare för resenärer att flytta mellan länder, men vissa hävdar att användningen av RFID-chips inkräktar på medborgerliga friheter.
Utvecklingen och implementeringen av biometriska pass började ungefär 2003. Det året antog International Civil Aviation Organization en plan för att rulla ut maskinläsbara pass med RFID-chips. Alla 188 medlemsländer, inklusive USA, var bundna av planen. Det första amerikanska biometriska passet utfärdades 2005.
Det är svårt och dyrt från och med 2011 att förfalska chippet inbäddat i ett biometriskt pass eftersom Public Key Infrastructure är det dataautentiseringssystem som används. Förutom en digital ansiktsbild kan RFID-chips även innehålla information om fingeravtryck och iris. Dessa bilder som lagras på chippet jämförs med egenskaperna hos den person som påstår sig vara innehavaren under identifieringsförfaranden vid gränser eller i tullen.
På grund av oro för förfalskning är all information som ett biometriskt passs RFID-chip innehåller inte offentlig. I allmänhet inkluderar chippet ett identifikationsnummer tryckt på dess yta och en digital signatur. Dessa två nummer lagras i en databas och kopplas till passinnehavarens personuppgifter. Informationen som lagras i RFID-chippet kan inte ändras; om innehavarens uppgifter ändras kommer han eller hon att behöva ett nytt pass och kan behöva betala en handläggningsavgift.
Chippet i ett biometriskt pass är utrustat med vissa skydd för att förhindra förfalskning. Vissa marker ges slumpmässiga marker för att förhindra spårning. Grundläggande åtkomstkontroll kräver att läsaren tillhandahåller en nyckel innan chipdata kan nås, medan passiv autentisering förhindrar att data ändras. Kloning av chipet avskräcks med aktiv autentisering. Om chippet innehåller fingeravtrycks- och irisdata kommer Extended Access Control (EAC) att användas för dess starka kryptering; EAC blev obligatoriskt i EU i juni 2009.
Trots dessa skydd har det funnits flera påvisade sårbarheter i biometriska passchips. Marc Witteman avslöjade 2005 att vissa passdokumentnummer är förutsägbara, vilket gör det enklare att gissa chipets krypteringsnyckel. EAC, passiv autentisering och aktiv autentisering har också varit mål för framgångsrika attacker i Storbritannien och andra nationer.
Vissa organisationer hävdar att chipsen kan läsas trådlöst på avstånd av alla med rätt utrustning. Sådana sårbarheter har fått integritetsaktivister att hävda att kontaktkort bör utfärdas istället för biometriska pass. Ett kontaktkort läses genom att dra det genom en läsare som ett kreditkort, vilket eliminerar möjligheten för någon att läsa chipinformation på långt håll. Andra länder har antagit kontaktlös smartkortsteknik snarare än RFID-chipet.
Ett biometriskt pass utfärdat i Europeiska Unionen har information om digital bildbehandling och fingeravtrycksskanning på chippet från och med 2011, med vissa undantag för enskilda medlemsländer. Många andra länder utfärdar nu biometriska pass, inklusive Kanada, Schweiz och Singapore. Nationer utan den nödvändiga tekniska kapaciteten och infrastrukturen kommer med nödvändighet att försena implementeringen.