Атака путем повторной передачи корректной информации.Аппаратные компоненты биометрической системы должны передавать информацию на обработку программным компонентам для аутентификации пользователя.Если эти передаваемые данные в определенный момент перехватить, то в будущем можно попытаться повторно симулировать их передачу от аппаратных компонентов,чтобы получить доступ к системе.К примеру,при использовании сканера для проверки отпечатков пальцев,подключенного через порт Usb,последовательность передаваемых во время верификации данных может быть перехвачена, и позднее повторно передана тому же порту.
Фальсификация. Поскольку принцип работы биометрических устройств идентификации сводится к распознаванию некоторых физических характеристик человека,можно попытаться создать точную копию характеристики. В мае 2002 года Цутому Матцумото, исследователь из Национального университета в Иокогаме, провел презентацию (а позднее опубликовал статью) об уязвимых местах сканеров для отпечатков пальцев.Потратив 10$ на пищевые продукты, которые можно найти на кухне любой домохозяйки, ему удалось сделать из них фальшивые желатиновые отпечатки пальцев, при помощи которых были обмануты большинство моделей сканеров.
Манипуляции с базой данных. Биометрическая информация должна храниться в некоторой базе данных,чтобы поступившие данные можно было сравнивать с некоторым образцом в процессе аутентификации пользователя.Поэтому, проникнув в базу данных,шпион может добавить характеристики пользователя,ранее не имевшего доступ к системе.
Инженерный анализ. Любое устройство биометрической аутентификации состоит из аппаратной и программной части,которые взаимодействуют с операционной системой или приложениями.Можно проанализировать программный код приложения,чтобы в дальнейшем создать программную "заплату", позволяющую всегда идентифицировать пользователя как легального,даже если на самом деле его данные вообще отсутствуют в системе.
на эти вещи надо обращать внимание при выборе любой системы биометрической идентификации, считаю что для домашнего варианта самый проблемный пункт - это манипуляции с базой данных, т.к. везде при аутентификации подразумевается что информация в базе данных верна...