Biomeetriline pass on traditsiooniline paberpass, mis on sisseehitatud mikroprotsessorikiibi ja antenniga, mis sisaldab omaniku tuvastamiseks kasutatavat biomeetrilist teavet. Mikroprotsessori kiibi ja antenni kombinatsioon on tavaliselt raadiosageduslik identifitseerimiskiip (RFID) ja kasutab teabe vahetamiseks lugejaga raadiolaineid. Biomeetrilises passis olev RFID-kiip sisaldab tavaliselt kogu füüsilisele dokumendile trükitud teavet ja ka digitaalset näokujutist. Arvatakse, et seda tüüpi pass takistab võltsimist ning muudab reisijate jaoks riikidevahelise liikumise kiiremaks ja turvalisemaks, kuid mõned väidavad, et RFID-kiipide kasutamine rikub kodanikuvabadusi.
Biomeetriliste passide väljatöötamine ja rakendamine algas ligikaudu 2003. aastal. Sel aastal võttis Rahvusvaheline Tsiviillennunduse Organisatsioon vastu plaani võtta kasutusele RFID-kiipidega masinloetavad passid. Kõik 188 liikmesriiki, sealhulgas USA, olid plaaniga seotud. Esimene Ameerika biomeetriline pass anti välja 2005. aastal.
Alates 2011. aastast on biomeetrilisse passi manustatud kiibi võltsimine keeruline ja kulukas, kuna kasutatav andmete autentimissüsteem on avaliku võtme infrastruktuur. Lisaks digitaalsele näopildile võivad RFID-kiibid sisaldada ka sõrmejälgede ja vikerkesta teavet. Neid kiibile salvestatud pilte võrreldakse end valdavat isikut iseloomustavate omadustega piiril või tollis identifitseerimisprotseduuride ajal.
Võltsimise tõttu ei ole kogu teave, mida biomeetrilise passi RFID-kiip sisaldab, avalik. Üldiselt sisaldab kiip selle pinnale trükitud identifitseerimisnumbrit ja digitaalset allkirja. Need kaks numbrit on salvestatud andmebaasi ja seotud passiomaniku isikuandmetega. RFID-kiibile salvestatud teavet ei saa muuta; kui omaniku andmed muutuvad, on tal vaja uut passi ja võib-olla tuleb maksta menetlustasu.
Biomeetrilises passis olev kiip on võltsimise ärahoidmiseks varustatud teatud kaitsetega. Mõnele kiibile antakse jälgimise vältimiseks juhuslikud kiibi identifikaatorid. Põhiline juurdepääsukontroll nõuab, et lugeja esitaks võtme, enne kui pääseb juurde kiibi andmetele, samas kui passiivne autentimine takistab andmete muutmist. Aktiivne autentimine hoiab ära kiibi kloonimise. Kui kiip sisaldab sõrmejälgede ja vikerkesta andmeid, kasutatakse selle tugevaks krüptimiseks laiendatud juurdepääsu juhtimist (EAC); EAC muutus Euroopa Liidus kohustuslikuks 2009. aasta juunis.
Hoolimata nendest kaitsemeetmetest on biomeetrilistes passikiipides ilmnenud mitmeid turvaauke. Marc Witteman paljastas 2005. aastal, et mõned passidokumendi numbrid on etteaimatavad, mis muudab kiibi krüpteerimisvõtme ära arvamise lihtsamaks. EAC, Passive Authentication ja Active Authentication on olnud ka edukate rünnakute sihtmärgid Suurbritannias ja teistes riikides.
Mõned organisatsioonid väidavad, et kõik, kellel on nõuetekohane varustus, saavad kiipe distantsilt juhtmevabalt lugeda. Sellised haavatavused on pannud privaatsusaktivistid väitma, et biomeetriliste passide asemel tuleks väljastada kontaktkaardid. Kontaktkaarti loetakse libistades seda läbi lugeja nagu krediitkaarti, välistades nii võimaluse, et keegi loeb kiibi teavet kaugelt. Teised riigid on RFID-kiibi asemel kasutusele võtnud kontaktivaba kiipkaarditehnoloogia.
Euroopa Liidus välja antud biomeetrilises passis on 2011. aasta seisuga kiibil digitaalse pildistamise ja sõrmejälgede skaneerimise teave, üksikute liikmesriikide puhul välja arvatud mõned erandid. Paljud teised riigid väljastavad nüüd biomeetrilisi passe, sealhulgas Kanada, Šveits ja Singapur. Riigid, kellel puudub nõutav tehnoloogiline võimekus ja infrastruktuur, lükkavad rakendamise tingimata edasi.