La respuesta depende mucho de tu caso de uso. ¿Está utilizando un biométrico para autenticarse en un servidor HTTP remoto? Luego, si alguien roba una representación binaria de su biométrica, podrá iniciar sesión como usted. Es por eso que nos gusta pasar a la autenticación de 2 factores en lugar de a un solo factor.
Un ejemplo sería algo que eres (tu huella digital o una representación digital de él) y algo que sabes (tu contraseña).
Si está realizando la autenticación local, la historia es un poco diferente. Las opciones del atacante son: cortar el dedo y llevarlo con él (ver Informe de Minorías donde usó los ojos en lugar de los dedos), obtener un escaneo del dedo e intentar replicarlo en algo que el escáner podrá leer o conectar algo entre el lector y la computadora que realiza el procesamiento.
Incluso para la autenticación local, a menudo se usa la autenticación de 2 factores. Su escaneo de huellas dactilares podría mostrarle una imagen suya en la computadora del guardia de seguridad. O una huella digital y un PIN.