Brute-Force: Fingerabdrucksysteme haben typischerweise eine FAR von 10-6, das ist grob mit einer 6stelligen PIN vergleichbar. Allerdings kann ein achtstelliges Passwort, das alle Sonderzeichen eines 8bit-Alphabets zulässt, eine FAR von 10-20 erreichen, was mit Fingerprint nicht nachweisbar möglich ist. Für Gehirnakrobaten ist also das komplexe Passwort im Vorteil.
Latenzfingerabdruck-Reaktivierung: Hier wird es mit der Vergleichbarkeit schon schwieriger. Ein Angriff, der am ehesten einem Latenzfingerangriff entspricht, ist das Ausspähen einer PIN durch Präparierung einer Tastatur. Weiß man zum Beispiel, welche 4 Tasten (bei 4 unterschiedlichen Ziffern) gedrückt wurden, gibt es genau 24 Möglichkeiten, die richtige Reihenfolge herauszufinden. Für drei Versuche beträgt dann die Wahrscheinlichkeit für einen erfolgreichen Angriff 3/24 = 1/8 und liegt damit deutlich unter den Möglichkeiten der zugehörigen PIN. Anders als bei Fingerprintsystemen sind Softwaremaßnahmen gegen Latenzfinger nicht möglich, so dass sich je nach Güte des Latenzfingerschutzes oder Art des Sensors Fingerprint im Vorteil sein kann.
Replay-Attacken: Hier ist Biometrie in der Regel im Vorteil, weil die Schnittstelle eines Sensordevices normalerweise komplexer ist als eine Tastaturschnittstelle. Eine zusätzliche Schutzmöglichkeit ergibt sich aus der Tatsache, dass das richtige Passwort stets das Gleiche ist, während sich biometrische Merkmalsaufnahmen immer geringfügig unterscheiden (Position des Fingers, Haltung des Kopfes für Gesichtserkennung usw.). Sollten zwei aufeinander folgende Merkmalsdatensätze exakt den gleichen Inhalt haben, lässt dies auf eine Replayattacke zwischen Sensor und Auswerteeinheit schließen.
Angriffe durch Trojanische Pferde: Hier sind nur geringe Unterschiede zwischen Passwörtern und Biometrie zu erwarten.
Kopien-Angriffe: Hier geht es um Kopien entweder des biometrischen Merkmals oder des Passworts. In der Praxis kann man davon ausgehen, dass bei voller Sicherheitsmotivation des Anwenders das Passwort schwerer zu kopieren (= stehlen) ist als ein Fingerabdruck. Stimmt diese Voraussetzung nicht, und das ist der Normalfall, liegt die Biometrie vorne. Allerdings lassen sich Fingerabdrücke anders als Passwörter im Kompromittierungsfall nicht so leicht austauschen. Andererseits ist mit speziellen Methoden leichter zu prüfen, ob ein biometrisches Merkmal zur richtigen Person gehört als ein Passwort. Während die Kopienbeschaffung beim Fingerabdruck in der Regel Spuren hinterlässt, die ein Risiko für den Angreifer darstellen und zumindest das Opfer warnen können, ist ein Passwort oft unbemerkt zu stehlen.
Angriffe durch nichtlebende Merkmalsträger: Hier scheint das Passwort je nach Anwendung leicht im Vorteil zu sein, da Tote kein Passwort offenbaren können (vorausgesetzt, sie haben es nicht zu Lebzeiten aufgeschrieben).
"Hill-climbing"-Angriffe: Sind nur möglich, wenn die Nähe des Merkmals/Passworts zum Referenzmerkmal / richtigen Passwort vom System ausgegeben wird. Kein Unterschied zwischen Passwort und Biometrie, außer dass der Angriffs-Algorithmus für das Passwort wesentlich einfacher ist.
Softwarefehler: Betrifft beide Systeme gleichermaßen.
Ausübung von Zwang: Betrifft beide Systeme gleichermaßen. Nur bei Bewusstlosigkeit ist das Passwort im Vorteil.
Weitere Angriffe: Betrifft beide Systeme gleichermaßen. Da allerdings Passwörter historisch gesehen schon länger im Einsatz sind, ist damit zu rechnen, dass bei Passwortsystemen weniger unbekannte Angriffsmöglichkeiten existieren.
Leider zeigt sich hier, wie schwierig ein echter Vergleich ist. Um zu einer soliden Gesamtbeurteilung zu kommen, muss man leider die Anwendung und die Eintrittswahrscheinlichkeiten für den Erfolg eines jeden Angriffs kennen, um auf diese Weise die Gewichtung der einzelnen Angriffe vornehmen zu können. Je nach Szenario kann dann mal die Biometrie und mal das Passwort besser sein. (Ein einfaches Zusammenzählen der Siege für einzelne Angriffe würde voraussetzen, dass alle Angriffe gleichbedeutend wären. Das ist aber fast nie der Fall und hängt zusätzlich noch von der Anwendung ab.)