Biometrinis pasas yra tradicinis popierinis pasas su mikroprocesoriaus lustu ir antena, kuriame yra biometrinė informacija, naudojama identifikuoti turėtoją. Mikroprocesoriaus lusto ir antenos derinys paprastai yra radijo dažnio identifikavimo lustas (RFID) ir naudoja radijo bangas informacijai keisti su skaitytuvu. RFID mikroschemoje biometriniame pase paprastai yra visa informacija, išspausdinta ant fizinio dokumento, taip pat skaitmeninis veido vaizdas. Manoma, kad tokio tipo pasai apsaugo nuo klastojimo ir daro keliautojams greitesnį bei saugesnį judėjimą tarp šalių, tačiau kai kurie teigia, kad RFID lustų naudojimas pažeidžia pilietines laisves.
Biometriniai pasai buvo pradėti kurti ir diegti maždaug 2003 m. Tais metais Tarptautinė civilinės aviacijos organizacija priėmė planą įdiegti mašininiu būdu nuskaitomus pasus su RFID lustais. Visos 188 valstybės narės, įskaitant JAV, buvo saistomos plano. Pirmasis Amerikos biometrinis pasas buvo išduotas 2005 m.
Nuo 2011 m. sudėtinga ir brangu suklastoti į biometrinį pasą įdėtą lustą, nes naudojama duomenų autentifikavimo sistema yra viešojo rakto infrastruktūra. Be skaitmeninio veido vaizdo, RFID lustuose taip pat gali būti pirštų atspaudų ir rainelės informacijos. Šie mikroschemoje saugomi vaizdai lyginami su asmens, kuris teigia esąs savininkas, savybėmis atliekant tapatybės nustatymo procedūras pasienyje arba muitinėje.
Dėl susirūpinimo dėl klastojimo visa biometrinio paso RFID lusto informacija nėra vieša. Paprastai lustą sudaro ant jo paviršiaus atspausdintas identifikavimo numeris ir skaitmeninis parašas. Šie du numeriai yra saugomi duomenų bazėje ir susieti su paso turėtojo asmenine informacija. RFID mikroschemoje saugomos informacijos keisti negalima; pasikeitus turėtojo duomenims, jam reikės naujo paso ir gali tekti sumokėti tvarkymo mokestį.
Biometriniame pase esančiame luste yra tam tikros apsaugos, kad būtų išvengta klastojimo. Kai kuriems lustams suteikiami atsitiktiniai lustų identifikatoriai, kad būtų išvengta atsekimo. Pagrindinis prieigos valdymas reikalauja, kad skaitytuvas pateiktų raktą, kad būtų galima pasiekti lusto duomenis, o pasyvus autentifikavimas neleidžia keisti duomenų. Aktyvus autentifikavimas atgraso nuo lusto klonavimo. Jei mikroschemoje yra pirštų atspaudų ir rainelės duomenų, jos tvirtam šifravimui bus naudojama išplėstinė prieigos kontrolė (EAC); EAC tapo privalomas Europos Sąjungoje 2009 m. birželio mėn.
Nepaisant šių apsaugos priemonių, buvo įrodyta keletas biometrinių pasų lustų pažeidžiamumų. 2005 m. Marcas Wittemanas atskleidė, kad kai kurių pasų dokumentų numeriai yra nuspėjami, todėl lengviau atspėti lusto šifravimo raktą. EAC, pasyvus autentifikavimas ir aktyvus autentifikavimas taip pat buvo sėkmingų atakų Didžiojoje Britanijoje ir kitose šalyse taikiniais.
Kai kurios organizacijos tvirtina, kad lustus belaidžiu būdu per atstumą gali nuskaityti visi, turintys tinkamą įrangą. Tokie pažeidžiamumai privertė privatumo aktyvistus ginčytis, kad vietoj biometrinių pasų reikėtų išduoti kontaktines korteles. Kontaktinė kortelė nuskaitoma braukiant per skaitytuvą kaip kredito kortelę, taip pašalinant galimybę, kad kas nors perskaitys lusto informaciją iš toli. Kitos šalys priėmė bekontakčių intelektualiųjų kortelių technologiją, o ne RFID lustą.
Europos Sąjungoje išduotame biometriniame pase 2011 m. lustoje yra skaitmeninio vaizdo gavimo ir pirštų atspaudų nuskaitymo informacija, išskyrus kai kurias išimtis atskiroms valstybėms narėms. Biometrinius pasus dabar išduoda daugelis kitų šalių, įskaitant Kanadą, Šveicariją ir Singapūrą. Tautos, neturinčios reikiamų technologinių pajėgumų ir infrastruktūros, būtinai atidės įgyvendinimą.