Um passaporte biométrico é um passaporte de papel tradicional incorporado com um chip microprocessador e uma antena que contém informações biométricas usadas para identificar o titular. O chip do microprocessador e a combinação da antena costumam ser um chip de identificação por radiofrequência (RFID) e usa ondas de rádio para trocar informações com um leitor. O chip RFID em um passaporte biométrico normalmente contém todas as informações impressas no documento físico, bem como uma imagem facial digital. Acredita-se que esse tipo de passaporte impeça a falsificação e torne mais rápido e seguro para os viajantes se deslocarem entre os países, mas alguns argumentam que o uso de chips RFID infringe as liberdades civis.
O desenvolvimento e a implementação de passaportes biométricos começaram aproximadamente em 2003. Naquele ano, a Organização de Aviação Civil Internacional adotou um plano para lançar passaportes legíveis por máquina com chips RFID. Todos os 188 países membros, incluindo os Estados Unidos, estavam vinculados ao plano. O primeiro passaporte biométrico americano foi emitido em 2005.
É difícil e caro a partir de 2011 forjar o chip embutido em um passaporte biométrico porque a infraestrutura de chave pública é o sistema de autenticação de dados em uso. Além de uma imagem facial digital, os chips RFID também podem conter informações de impressão digital e íris. Essas imagens armazenadas no chip são comparadas às características da pessoa que afirma ser o titular durante os procedimentos de identificação nas fronteiras ou na alfândega.
Devido a questões de falsificação, todas as informações que um chip RFID de passaporte biométrico contém não são públicas. Geralmente, o chip inclui um número de identificação impresso em sua superfície e uma assinatura digital. Esses dois números são armazenados em um banco de dados e associados às informações pessoais do titular do passaporte. As informações armazenadas no chip RFID não podem ser alteradas; se os dados do titular forem alterados, ele precisará de um novo passaporte e poderá ter que pagar uma taxa de processamento.
O chip em um passaporte biométrico é equipado com certas proteções para impedir a falsificação. Alguns chips recebem identificadores de chip aleatórios para evitar rastreamento. O Controle de acesso básico requer que o leitor forneça uma chave antes que os dados do chip possam ser acessados, enquanto a autenticação passiva evita que os dados sejam modificados. A clonagem do chip é impedida com a autenticação ativa. Se o chip incluir dados de impressão digital e íris, o Extended Access Control (EAC) será usado para sua criptografia forte; EAC tornou-se obrigatório na União Europeia em junho de 2009.
Apesar dessas proteções, houve várias vulnerabilidades demonstradas em chips biométricos de passaporte. Marc Witteman revelou em 2005 que alguns números de documentos de passaporte são previsíveis, tornando mais simples adivinhar a chave de criptografia do chip. EAC, autenticação passiva e autenticação ativa também foram alvos de ataques bem-sucedidos na Grã-Bretanha e em outras nações.
Algumas organizações afirmam que os chips podem ser lidos sem fio à distância por qualquer pessoa com o equipamento adequado. Tais vulnerabilidades levaram ativistas de privacidade a argumentar que cartões de contato deveriam ser emitidos em vez de passaportes biométricos. Um cartão de contato é lido passando-o por um leitor como um cartão de crédito, eliminando assim a possibilidade de alguém ler as informações do chip de longe. Outras nações adotaram a tecnologia de cartão inteligente sem contato em vez do chip RFID.
Um passaporte biométrico emitido na União Europeia tem imagens digitais e informações de leitura de impressão digital no chip a partir de 2011, com algumas exceções para estados membros individuais. Muitas outras nações agora emitem passaportes biométricos, incluindo Canadá, Suíça e Cingapura. Nações sem a capacidade tecnológica e infraestrutura necessárias necessariamente atrasarão a implementação.