Per-Device PSK nach Anbieter: iPSK, DPSK, MPSK und PPSK im Vergleich (und WPA3-Unterstützung)

Ein umfassender Vergleich von Per-Device-PSK-Implementierungen bei Cisco Meraki, HPE Aruba, Ruckus, Juniper Mist, Extreme, Fortinet und Ubiquiti UniFi. Erfahren Sie, wie sich WPA3-SAE auf Per-Device-Key-Strategien auswirkt und wann Übergangsmodi im Vergleich zum Wechsel zu 802.1X eingesetzt werden sollten.

📖 6 Min. Lesezeit📝 1,350 Wörter🔧 2 ausgearbeitete Beispiele❓ 3 Übungsfragen📚 8 Schlüsseldefinitionen

Diesen Leitfaden anhören

Podcast-Transkript ansehen

Per-Device PSK nach Anbieter: iPSK, DPSK, MPSK und PPSK im Vergleich sowie WPA3-Unterstützung. Ein technisches Briefing von Purple.

Einführung und Kontext.

Willkommen zur technischen Briefing-Reihe von Purple. Ich werde Sie durch eines der praktisch wichtigsten – und am häufigsten missverstandenen – Themen im Bereich Enterprise-WiFi führen: gerätespezifische Pre-Shared Keys (Per-Device PSK). Konkret werden wir vergleichen, wie die einzelnen großen Anbieter diese Funktion implementieren, wie sie sie nennen, wie sie unter der Haube tatsächlich funktioniert und – ganz entscheidend – was passiert, wenn Sie versuchen, auf WPA3 umzustellen.

Wenn Sie IT-Manager, Netzwerkarchitekt oder Betriebsleiter für Veranstaltungsorte sind und WiFi in einem Hotelkomplex, einer Einzelhandelskette, einem Stadion oder auf einem Campus im öffentlichen Sektor betreiben, ist dieses Briefing genau das Richtige für Sie. Sie haben wahrscheinlich schon von dem Buchstabensalat gehört: iPSK, DPSK, MPSK, PPSK. Sie alle beziehen sich auf dasselbe Konzept – jedem Gerät oder Benutzer ein eigenes, eindeutiges Passwort auf einer einzigen SSID zuzuweisen –, aber die Implementierungen unterscheiden sich erheblich, und diese Unterschiede spielen eine Rolle, wenn Sie Ihre nächste Infrastruktur-Modernisierung planen.

Letst start mit den Grundlagen, gehen wir dann die einzelnen Anbieter durch und schließen wir mit der WPA3-Frage ab, mit der sich derzeit alle beschäftigen.

Technischer Deep-Dive.

Was also ist Per-Device PSK und warum gibt es das?

Das herkömmliche WPA2-Personal verwendet eine einzige gemeinsame Passphrase für eine gesamte SSID. Jeder in Ihrem Gästenetzwerk verwendet dasselbe Passwort. Das führt zu zwei Problemen. Erstens können Sie den Zugriff für ein einzelnes Gerät nicht sperren, ohne das Passwort für alle anderen zu ändern. Zweitens haben Sie keine Transparenz oder Richtliniendurchsetzung pro Gerät. Per-Device PSK löst beide Probleme. Jedes Gerät oder jeder Benutzer erhält eigene Anmeldedaten. Sie können einen Schlüssel sperren, ohne die anderen zu beeinträchtigen. Sie können pro Schlüssel unterschiedliche VLANs, Bandbreitenrichtlinien oder Zugriffszeitpläne zuweisen. Es ist der Mittelweg zwischen der Einfachheit von WPA2-Personal und der Komplexität einer vollständigen 802.1X-Enterprise-Authentifizierung.

Sehen wir uns nun an, wie die einzelnen Anbieter dies implementieren.

Cisco Meraki nennt es iPSK – Identity Pre-Shared Key. Meraki unterstützt zwei Modi. Ohne RADIUS konfigurieren Sie bis zu fünf eindeutige PSKs direkt im Meraki-Dashboard, die jeweils einem VLAN zugeordnet sind. Das ist schnell eingerichtet und erfordert keine externe Infrastruktur. Mit RADIUS – in der Regel Cisco ISE – können Sie auf Tausende von Schlüsseln skalieren. Der Client stellt eine Verbindung her, der AP sendet die MAC-Adresse und einen PSK-Hinweis an den RADIUS-Server, der Server gibt den korrekten gerätespezifischen Schlüssel zurück, und der standardmäßige WPA2-Vier-Wege-Handshake wird mit diesem Schlüssel als Pairwise Master Key abgeschlossen. Die entscheidende Erkenntnis hierbei ist, dass der RADIUS-Server die Suche durchführt, nicht der AP. Der AP erleichtert lediglich den Austausch.

HPE Aruba nennt es MPSK – Multiple Pre-Shared Key. Aruba Central und Aruba Instant unterstützen MPSK in zwei Modi: MPSK Local, bei dem die Schlüssel auf dem Controller oder AP-Cluster gespeichert werden, und MPSK mit ClearPass, der RADIUS- und Richtlinien-Engine von Aruba. ClearPass kann Zehntausende von Schlüsseln speichern, dynamische VLANs zuweisen und rollenbasierte Richtlinien pro Schlüssel anwenden. Der Authentifizierungsfluss ist im Wesentlichen derselbe wie im RADIUS-Modus von Meraki – eine MAC-basierte Suche gibt den gerätespezifischen Schlüssel vor dem Vier-Wege-Handshake zurück.

Ruckus – heute Teil von CommScope – nennt es DPSK, Dynamic Pre-Shared Key. Dies ist wohl die ausgereifteste Implementierung auf dem Markt. Ruckus DPSK ist seit den Anfängen von SmartZone verfügbar. Im lokalen Modus läuft der DPSK-Dienst auf dem Controller und verwaltet die Schlüsseldatenbank. Im RADIUS-Modus lässt er sich in Cloudpath integrieren, die eigene Netzwerkzugriffskontrollplattform von Ruckus. Was Ruckus besonders auszeichnet, ist DPSK3 – ihre WPA3-Erweiterung von DPSK, auf die wir gleich noch zurückkommen werden. DPSK3 ist auf Wi-Fi 6-, 6E- und 7-Access-Points mit der Firmware-Version 7.0 oder höher verfügbar und läuft im WPA2/WPA3-Mixed-Mode.

Juniper Mist nennt es PPSK – Private Pre-Shared Key – oder manchmal Multi-PSK. Mist speichert Schlüssel in der Cloud, in der Mist-Organisations- oder Standort-Schlüsseldatenbank, mit einem Limit von 5.000 Schlüsseln pro Standort. Schlüssel können pro Benutzer, pro Gerät oder pro Gruppe zugewiesen werden. Mist lässt sich auch in seinen Access Assurance-Dienst integrar – die Cloud-native NAC –, was eine RADIUS-basierte PSK-Suche hinzufügt. Entscheidend ist, dass Juniper die Unterstützung von WPA3-RADIUS-PSK über Access Assurance angekündigt hat, sodass eine einzige WPA3-Personal-SSID mehrere Passphrasen bedienen kann. Dies ist eine der zukunftsorientierteren Implementierungen auf dem Markt.

Extreme Networks – das Aerohive übernommen hat – nennt es PPSK, Private Pre-Shared Key, über ExtremeCloud IQ. Die Implementierung von Extreme unterstützt die lokale Speicherung von Schlüsseln auf dem AP selbst, was für Filialen oder Remote-Standorte mit eingeschränkter Konnektivität nützlich ist. Sie unterstützt auch die RADIUS-basierte Suche über den Cloud-RADIUS-Dienst von ExtremeCloud IQ. Eine MAC-Bindung ist verfügbar, die einen PPSK für zusätzliche Sicherheit an eine bestimmte Geräte-MAC-Adresse koppelt.

Fortinet nennt es MPSK, Multiple Pre-Shared Key, verwaltet über FortiAP und den drahtlosen FortiGate-Controller. Die Implementierung von Fortinet ist bemerkenswert, da sie in ihren MPSK-Profilen explizit die Sicherheitsmodi WPA3-SAE und WPA3-SAE-Transition unterstützt – ab der FortiAP-Firmware 8.0. Sie können ein MPSK-Profil mit WPA3-SAE-Schlüsseln erstellen, diese einer VAP zuweisen und eine dynamische VLAN-Zuweisung pro Schlüssel aktivieren. Dies ist eine der saubereren WPA3-MPSK-Implementierungen, die heute verfügbar sind.

Ubiquiti UniFi nennt es Private Pre-Shared Keys oder Private PSK. Die Implementierung von UniFi ist nur lokal – die Schlüssel werden im UniFi Network Controller gespeichert, nicht auf einem externen RADIUS-Server. Sie können pro Schlüssel unterschiedliche VLANs zuweisen und Client-Limits pro Schlüssel festlegen. Die wesentliche Einschränkung: Ab Mitte 2026 funktioniert UniFi Private PSK nur in WPA2-Netzwerken auf 2,4 GHz und 5 GHz. WPA3 und 6 GHz werden nicht unterstützt. Für kleinere Bereitstellungen ist das in Ordnung, aber es ist eine Einschränkung, die man kennen sollte, bevor man sich für eine größere UniFi-Infrastruktur entscheidet.

Nun zur WPA3-Frage. Hier wird es technisch interessant.

WPA2-Personal verwendet einen Vier-Wege-Handshake. Der Client und der AP leiten einen Pairwise Transient Key von einem gemeinsamen Pairwise Master Key ab, der wiederum von der Passphrase abgeleitet wird. Da die PMK-Ableitung nach der RADIUS-Suche erfolgt, kann der AP an dieser Stelle einen gerätespezifischen Schlüssel einsetzen. Dem Standard ist das egal – er sieht einfach einen gültigen PMK.

WPA3-Personal ersetzt den Vier-Wege-Handshake durch SAE – Simultaneous Authentication of Equals. SAE ist ein Diffie-Hellman-basiertes Protokoll. Beide Seiten einigen sich auf ein gemeinsames Passwortelement, das von der Passphrase abgeleitet wird, bevor die Zuordnung abgeschlossen wird. Der entscheidende Unterschied: Das Passwort muss beiden Seiten bekannt sein, bevor der SAE-Austausch beginnt. Es gibt im Protokoll keinen Punkt, an dem ein RADIUS-Server einen anderen Schlüssel pro Gerät einspeisen kann. Der AP und der Client führen bereits einen kryptografischen Austausch mit einem einzigen gemeinsamen Wert durch.

Aus diesem Grund erlaubt WPA3 in seiner Standardform derzeit nur einen Schlüssel pro SSID. Dies ist keine Einschränkung der Firmware, sondern eine Einschränkung des Protokolls.

Die Übergangslösungen lassen sich in drei Kategorien einteilen.

Erstens der WPA3-Übergangsmodus – auch WPA2/WPA3-Mixed-Mode genannt. Die SSID signalisiert sowohl WPA2-PSK als auch WPA3-SAE. WPA2-Clients nutzen den Vier-Wege-Handshake und können gerätespezifische Schlüssel über RADIUS erhalten. WPA3-Clients nutzen SAE mit einem einzigen gemeinsamen Passwort. Dies ist der heute am weitesten verbreitete Ansatz und wird unter anderem von Cisco Meraki, HPE Aruba und Ruckus unterstützt.

Zweitens proprietäre Erweiterungen. Ruckus DPSK3 is das deutlichste Beispiel. Durch den Betrieb im WPA2/WPA3-Mixed-Mode mit Cloudpath als RADIUS-Backend ermöglicht DPSK3 WPA3-fähigen Geräten die Nutzung von SAE, während das System die gerätespezifische Schlüsselbindung über die Cloudpath-Integration verwaltet. Der WPA3-RADIUS-PSK-Ansatz von Juniper Access Assurance verfolgt einen ähnlichen Ansatz. Mit dem MPSK von Fortinet mit WPA3-SAE-Übergangsmodus können Sie WPA2-Personal- und WPA3-SAE-Schlüssel im selben MPSK-Profil mischen.

Drittens der Wechsel zu 802.1X. Für verwaltete Endpunkte – Laptops von Unternehmen, Geräte von Mitarbeitern, alles, worauf Sie ein Zertifikat übertragen können – ist WPA3-Enterprise mit EAP-TLS die sauberste Lösung. Es ist vollständig kompatibel mit WPA3 und 6 GHz, bietet eine gerätespezifische Identität und lässt sich in Microsoft Entra ID, Okta und Google Workspace integrieren. Der Kompromiss liegt in der Komplexität der Bereitstellung und der Notwendigkeit einer Zertifikatsinfrastruktur.

Empfehlungen für die Implementierung und Fallstricke.

Was sollten Sie also konkret tun?

Wenn Sie einen Hotelkomplex mit einer Mischung aus Gästegeräten, IoT-Sensoren und Mitarbeitergeräten betreiben, ist die pragmatische Antwort im Jahr 2026 ein hybrides SSID-Design. Behalten Sie eine WPA2-Personal-SSID mit Per-Device PSK für ältere IoT- und Gästegeräte bei. Betreiben Sie eine WPA3-Enterprise-SSID für von Ihnen kontrollierte Mitarbeitergeräte. Verwenden Sie den Übergangsmodus auf Ihrer primären Gäste-SSID, um sowohl WPA2- als auch WPA3-Clients zu unterstützen, ohne die Anzahl Ihrer SSIDs unnötig zu erhöhen.

Wenn Sie Ruckus nutzen und Wi-Fi 6 oder neuere Hardware betreiben, ist DPSK3 im WPA2/WPA3-Mixed-Mode mit Cloudpath eine Evaluierung wert. Es bietet Ihnen die am ehesten mit nativem WPA3-Per-Device-PSK vergleichbare Lösung, die heute verfügbar ist.

Wenn Sie Fortinet nutzen, ist das MPSK-Profil mit WPA3-SAE-Transition einfach zu konfigurieren und bietet Ihnen einen sauberen Migrationspfad.

Wenn Sie UniFi nutzen, weisen Sie Ihre Stakeholder ausdrücklich darauf hin, dass Private PSK nur für WPA2 verfügbar ist. Für Veranstaltungsorte, die Wi-Fi 6E oder Wi-Fi 7 mit 6-GHz-Funkmodulen bereitstellen, benötigen Sie eine andere Authentifizierungsstrategie für dieses Band.

Der größte Fallstrick, den wir beobachten, ist die Annahme von Teams, dass die Aktivierung von WPA3 auf einer bestehenden Per-Device-PSK-SSID einfach so funktioniert. Das tut es nicht. Testen Sie dies zuerst an einem Pilotstandort. Überprüfen Sie Ihre AP-Firmware-Versionen – DPSK3 erfordert beispielsweise die Firmware 7.0 oder höher auf Ruckus. Und überprüfen Sie die Kompatibilität Ihres RADIUS-Servers – Ruckus DPSK3 im Mixed-Mode erfordert speziell Cloudpath, keinen generischen RADIUS-Server.

Ein zweiter Fallstrick ist der unkontrollierte Zuwachs an Schlüsseln (Key Sprawl). Per-Device PSK eignet sich hervorragend für die Nachverfolgbarkeit, aber nur, wenn Sie über einen Prozess zur Sperrung von Schlüsseln verfügen, wenn Geräte außer Betrieb genommen werden. Ohne Lifecycle-Management haben Sie am Ende Tausende von verwaisten Schlüsseln und keinen Audit-Trail. Integrieren Sie Ihre Schlüsselbereitstellung vom ersten Tag an in Ihren Geräteverwaltungs-Workflow.

Schnelle Fragen und Antworten.

Kann ich Per-Device PSK auf einer 6-GHz-SSID verwenden? Nein. 6 GHz schreibt ausschließlich WPA3 vor, und WPA3 unterstützt Per-Device PSK nicht nativ. Verwenden Sie 802.1X oder eine separate 2,4/5-GHz-SSID für Geräte, die Per-Device PSK benötigen.

Erfüllt Per-Device PSK die PCI-DSS-Anforderungen? Per-Device PSK auf WPA2 kann die Anforderungen an die Netzwerksegmentierung gemäß PCI DSS 4.0 erfüllen, wenn jeder Schlüssel einem isolierten VLAN zugeordnet ist. PCI DSS empfiehlt jedoch dringend 802.1X für Karteninhaber-Datenumgebungen. Wenden Sie sich an Ihren QSA.

Wie hoch ist die maximale Anzahl von Schlüsseln pro SSID? Das variiert erheblich. Cisco Meraki mit ISE unterstützt sehr große Bereitstellungen. Ruckus DPSK unterstützt Zehntausende von Schlüsseln. Juniper Mist ist auf 5.000 pro Standort begrenzt. UniFi ist praktisch durch den Speicher des Controllers begrenzt. Überprüfen Sie immer die Dokumentation des Anbieters für Ihre spezifische Firmware-Version.

Wie fügt sich Purple hier ein? Purple fungiert als Cloud-Overlay auf Ihrer vorhandenen Hardware. Wir integrieren uns in Cisco Meraki, HPE Aruba, Ruckus, Juniper Mist, Ubiquiti UniFi, Cambium, Extreme und Fortinet. Bei Bereitstellungen von Gäste-WiFi und Mitarbeiter-WiFi übernimmt Purple die Identitätsebene – Authentifizierung, Datenerfassung, Einwilligungsmanagement – und gibt die entsprechende VLAN- oder Richtlinienzuweisung über RADIUS oder API an Ihre Hardware zurück. Sie behalten Ihre bestehende Per-Device-PSK-Infrastruktur; Purple fügt die Identitäts- und Analyseebene darüber hinzu.

Zusammenfassung und nächste Schritte.

Fassen wir das zusammen.

Per-Device PSK – ob Sie es nun iPSK, DPSK, MPSK oder PPSK nennen – ist eine ausgereifte, gut unterstützte Funktion bei allen großen Enterprise-WiFi-Anbietern. Die Implementierungen unterscheiden sich darin, wo die Schlüssel gespeichert werden, wie sie skalieren und wie sie sich in RADIUS integrieren lassen.

Das SAE-Protokoll von WPA3 stellt eine echte technische Einschränkung für Per-Device PSK dar. Der Standard unterstützt dies nicht nativ. Die praktischen Antworten heute sind der Übergangsmodus, proprietäre Erweiterungen wie DPSK3 oder der Wechsel zu 802.1X für Geräte, die dies unterstützen.

Die Zusammenfassung nach Anbietern: Cisco Meraki iPSK funktioniert gut mit ISE im RADIUS-Modus; die WPA3-Unterstützung erfolgt über den Übergangsmodus. HPE Aruba MPSK mit ClearPass ist hochgradig skalierbar; WPA3-MPSK befindet sich in der aktiven Entwicklung. Ruckus DPSK3 ist die ausgereifteste WPA3-Per-Device-PSK-Lösung auf dem Markt. Juniper Mist Access Assurance fügt WPA3-RADIUS-PSK hinzu. Fortinet MPSK unterstützt WPA3-SAE explizit in seinen MPSK-Profilen. Extreme PPSK ist solide für den lokalen und den RADIUS-Modus. UniFi Private PSK ist nur für WPA2 und nur lokal verfügbar.

Für Ihre nächsten Schritte: Überprüfen Sie Ihre aktuelle Per-Device-PSK-Bereitstellung, identifizieren Sie, welche Geräte WPA3-fähig sind, und entwerfen Sie eine hybride SSID-Strategie, die beide bedient. Wenn Sie eine Hardware-Modernisierung planen, priorisieren Sie Wi-Fi 6- oder Wi-Fi 7-APs mit bestätigter DPSK3- oder WPA3-MPSK-Unterstützung.

Wenn Sie verstehen möchten, wie sich Purple in Ihren spezifischen Hardware-Anbieter integrieren lässt, um eine Identitätsverwaltung und Analysen auf Ihre Per-Device-PSK-Bereitstellung aufzusetzen, besuchen Sie purple.ai oder sprechen Sie mit Ihrem Account-Team.

Das war's mit diesem Briefing. Vielen Dank fürs Zuhören.

Executive Summary

Per-device Pre-Shared Key (PSK) is the essential transition technology for enterprise networks that need per-device visibility without the complexity of full 802.1X authentication. While vendors use different names - Cisco Meraki iPSK, HPE Aruba MPSK, Ruckus DPSK, Juniper Mist PPSK - the fundamental goal is identical: assigning a unique password to every device on a single SSID.

However, the move to WPA3 introduces a significant architectural constraint. WPA3 replaces the traditional WPA2 four-way handshake with Simultaneous Authentication of Equals (SAE). SAE requires the password to be known by both the access point and the client before the exchange begins, which breaks the standard RADIUS-based lookup mechanism used by most per-device PSK implementations. This guide details how each major vendor handles per-device PSK, how they store and look up keys, and how they address the WPA3-SAE challenge - from WPA3 transition modes to proprietary extensions like Ruckus DPSK3.

Technical Deep-Dive

The Architecture of Per-Device PSK

Traditional WPA2-Personal uses a single shared passphrase for an entire SSID. Every device uses the same password, which means you cannot revoke access for one device without changing the password for everyone. Furthermore, you have no per-device visibility or policy enforcement.

Per-device PSK solves this by issuing a unique credential to each device or user. You can revoke one key without touching the others. You can assign different VLANs, bandwidth policies, or access schedules per key.

The technical mechanism relies on the WPA2 four-way handshake. When a client associates, the access point sends the client's MAC address to a RADIUS server (or a local database) in an Access-Request message. The RADIUS server returns an Access-Accept message containing the specific key for that device. The access point then completes the four-way handshake using that specific key to derive the Pairwise Master Key (PMK).

The WPA3-SAE Challenge

WPA3-Personal replaces the four-way handshake with SAE. SAE is a Diffie-Hellman-based protocol where both sides commit to a shared password element derived from the passphrase before the association completes.

The critical difference is that the password must be known to both sides before the SAE exchange begins. There is no point in the protocol where a RADIUS server can inject a different key per device. The access point and client are already executing a cryptographic exchange based on a single shared value. This is a protocol constraint defined by the IEEE 802.11 standard, not a vendor limitation.

Vendor Implementations Compared

Every major enterprise vendor supports per-device PSK, but their implementations and WPA3 readiness vary.

Cisco Meraki (iPSK) Cisco Meraki calls it Identity Pre-Shared Key (iPSK). It supports two modes. Without RADIUS, you can configure up to five unique PSKs directly in the Meraki dashboard. With RADIUS - typically Cisco ISE - you can scale to 100,000 keys. The RADIUS server performs the lookup and returns the per-device key. For WPA3, Meraki relies on WPA3 transition mode (WPA2/WPA3 mixed mode), where WPA2 clients use the four-way handshake and receive per-device keys, while WPA3 clients use SAE with a single shared password.

HPE Aruba (MPSK) HPE Aruba calls it Multiple Pre-Shared Key (MPSK). Aruba supports MPSK Local, where keys are stored on the controller, and MPSK with ClearPass, which acts as the RADIUS and policy engine. ClearPass can hold tens of thousands of keys and assign dynamic VLANs. Like Meraki, WPA3 support is currently handled via transition mode.

Ruckus (DPSK and DPSK3) Ruckus calls it Dynamic Pre-Shared Key (DPSK). It is one of the most mature implementations, available since the early SmartZone days. In RADIUS mode, it integrates with Cloudpath. Ruckus is notable for DPSK3, their WPA3 extension. DPSK3 operates in WPA2/WPA3 mixed mode and requires Cloudpath as the RADIUS backend. It allows WPA3-capable devices to use SAE while the system manages per-device key binding through the Cloudpath integration.

Juniper Mist (PPSK / Multi-PSK) Juniper Mist calls it Private Pre-Shared Key (PPSK) or Multi-PSK. Mist stores keys in the cloud database, with a limit of 5,000 keys per site. Keys can be assigned per user, per device, or per group. Mist integrates with its Access Assurance service, which adds RADIUS-based PSK lookup. Juniper supports WPA3 RADIUS PSK through Access Assurance, allowing a single WPA3-Personal SSID to serve multiple passphrases.

Extreme Networks (PPSK) Extreme Networks calls it Private Pre-Shared Key (PPSK) through ExtremeCloud IQ. It supports local key storage on the access point itself, which is useful for remote sites, as well as RADIUS-based lookup via ExtremeCloud IQ's cloud RADIUS service. Extreme supports MAC binding to tie a PPSK to a specific device.

Fortinet (MPSK) Fortinet calls it Multiple Pre-Shared Key (MPSK), managed through FortiAP and the FortiGate wireless controller. Fortinet explicitly supports WPA3-SAE and WPA3-SAE Transition security modes in its MPSK profiles. You can create an MPSK profile with WPA3-SAE keys, assign them to a VAP, and enable dynamic VLAN assignment.

Ubiquiti UniFi (Private PSK) Ubiquiti UniFi calls it Private Pre-Shared Keys. The implementation is local only; keys are stored in the UniFi Network controller. You can assign different VLANs per key. However, UniFi Private PSK only works on WPA2 networks on 2.4 GHz and 5 GHz. WPA3 and 6 GHz are not supported.

Implementation Guide

When deploying per-device PSK, follow these steps to ensure a secure and scalable architecture.

Audit Your Device Landscape: Identify which devices support WPA3 and which rely on WPA2. Legacy IoT devices will likely require WPA2 for the foreseeable future.
Select the Right SSID Strategy: For a mixed environment, deploy a hybrid SSID design. Maintain a WPA2-Personal SSID with per-device PSK for legacy IoT and guest devices. Deploy a WPA3-Enterprise SSID for managed staff devices.
Implement Transition Mode Carefully: If you use WPA3 transition mode on your primary guest SSID, ensure your access points and RADIUS servers are correctly configured to handle the mixed authentication flows.
Integrate Identity Management: Do not manage keys manually. Integrate your key provisioning with your device management workflow or an identity provider like Microsoft Entra ID or Okta.
Configure Dynamic VLANs: Map each per-device PSK to a specific VLAN to enforce network segmentation. This is critical for isolating IoT devices from guest traffic.

Best Practices

Enforce Lifecycle Management: Per-device PSK requires strict lifecycle management. You must have a process to revoke keys when devices are decommissioned to prevent key sprawl.
Use 802.1X for Managed Endpoints: For corporate laptops and staff devices, move to WPA3-Enterprise with EAP-TLS. It provides stronger security and native compatibility with zero-trust models.
Test WPA3 Upgrades: Never enable WPA3 on an existing per-device PSK SSID without testing in a pilot site. Verify firmware versions and RADIUS server compatibility.
Leverage Purple for Identity: Integrate Purple to handle the identity layer. Purple sits as a cloud overlay, providing authentication, data capture, and consent management, and passes the appropriate VLAN assignment back to your hardware via RADIUS. See Enterprise WiFi Security: A Complete Guide for 2026 for more details.

Troubleshooting & Risk Mitigation

Clients Failing to Connect on WPA3: If legacy devices fail to connect to a WPA3 transition mode SSID, it is often due to incompatible wireless drivers. Ensure client drivers are updated. If the issue persists, move legacy devices to a dedicated WPA2-only SSID.
RADIUS Timeouts: If the access point times out waiting for the per-device key from the RADIUS server, check the network path and ensure the RADIUS server is scaled to handle the authentication load.
VLAN Assignment Failures: If a device connects but receives the wrong IP address, verify the VLAN mapping in the RADIUS Access-Accept message and ensure the VLAN exists on the access point and switch port.

ROI & Business Impact

Implementing per-device PSK delivers measurable business value by reducing support tickets and improving security.

Reduced Helpdesk Load: Automating key provisioning and revocation eliminates manual password resets.
Improved Security Posture: Isolating devices onto separate VLANs based on their unique key reduces the blast radius of a compromised device.
Enhanced Visibility: Per-device keys provide granular visibility into network utilisation, allowing you to identify bandwidth hogs and optimise capacity planning.

Schlüsseldefinitionen

Per-Device PSK

Ein Sicherheitsmechanismus, der jedem Gerät oder Benutzer auf einer einzelnen SSID einen eindeutigen Pre-Shared Key zuweist, was eine individuelle Sperrung und dynamische Richtlinienzuweisung ermöglicht.

Wird verwendet, wenn IT-Teams Transparenz und Kontrolle pro Gerät benötigen, ohne eine vollständige 802.1X-Authentifizierung bereitzustellen.

WPA3-SAE

Simultaneous Authentication of Equals. Das in WPA3-Personal verwendete Protokoll zur sicheren Schlüsselvereinbarung, das den WPA2-Vier-Wege-Handshake ersetzt.

Relevant beim Upgrade auf WPA3 oder bei der Bereitstellung von 6-GHz-Netzwerken, da es die Art und Weise, wie Passwörter authentifiziert werden, grundlegend ändert.

Transition Mode

Eine Mixed-Mode-Konfiguration, bei der eine SSID die Unterstützung sowohl für WPA2-PSK als auch für WPA3-SAE signalisiert, sodass sich ältere und moderne Clients mit demselben Netzwerknamen verbinden können.

Der Standardansatz für die Migration bestehender Netzwerke zu WPA3, ohne ältere Geräte vom Netzwerk auszuschließen.

MAC Binding

Der Prozess der Verknüpfung eines bestimmten Per-Device-PSK mit der Hardware-MAC-Adresse eines bestimmten Geräts, wodurch verhindert wird, dass der Schlüssel auf einem anderen Gerät verwendet wird.

Wird verwendet, um die gemeinsame Nutzung von Anmeldedaten zu verhindern und eine strenge Zugriffskontrolle für IoT-Geräte zu gewährleisten.

Dynamic VLAN Assignment

Die Möglichkeit, ein Gerät basierend auf seinen Authentifizierungsdaten (wie seinem Per-Device-PSK) einem bestimmten Virtual LAN zuzuweisen, anstatt der SSID, mit der es sich verbindet.

Unerlässlich für die Netzwerksegmentierung, damit die IT den Gästedatenverkehr vom Unternehmensdatenverkehr auf demselben Access Point isolieren kann.

iPSK

Identity Pre-Shared Key. Die Implementierung von Per-Device PSK von Cisco Meraki.

Tritt bei der Verwaltung von drahtlosen Cisco Meraki-Netzwerken auf.

DPSK

Dynamic Pre-Shared Key. Die Implementierung von Per-Device PSK von Ruckus, wobei DPSK3 die WPA3-kompatible Version ist.

Tritt bei der Verwaltung von drahtlosen Ruckus-Netzwerken auf.

MPSK

Multiple Pre-Shared Key. Der von HPE Aruba und Fortinet verwendete Begriff für ihre Per-Device-PSK-Implementierungen.

Tritt bei der Verwaltung von drahtlosen HPE Aruba- oder Fortinet-Netzwerken auf.

Ausgearbeitete Beispiele

Ein Hotel mit 200 Zimmern muss sicheres Gäste-WiFi bereitstellen und die Smart-TVs in jedem Zimmer isolieren. Derzeit wird ein einziges WPA2-Personal-Passwort für alle Gäste und Geräte verwendet.

Stellen Sie Per-Device PSK über ein RADIUS-Backend bereit. Integrieren Sie Purple, um Gästedaten zu erfassen und jedem Gast bei der Registrierung einen eindeutigen PSK zuzuweisen. Generieren Sie für die Smart-TVs einen eindeutigen PSK pro Fernseher und weisen Sie diesen einem dedizierten IoT-VLAN zu. Konfigurieren Sie die Gäste-PSKs so, dass sie einem separaten Gäste-VLAN mit aktivierter Client-Isolierung zugewiesen werden.

Kommentar des Prüfers: Dieser Ansatz sichert das Netzwerk, indem er die IoT-Geräte vom Datenverkehr der Gäste isoliert. Die Verwendung von Purple automatisiert die Bereitstellung der Gästeschlüssel, was Helpdesk-Tickets reduziert, während das dedizierte IoT-VLAN sicherstellt, dass Gäste nicht auf die Smart-TVs zugreifen können.

Ein Universitätscampus führt ein Upgrade auf Wi-Fi 6E durch und muss WPA3 auf dem 6-GHz-Band unterstützen, verfügt jedoch über Tausende von älteren IoT-Geräten, die nur WPA2 unterstützen.

Implementieren Sie ein hybrides SSID-Design. Erstellen Sie eine WPA3-Enterprise-SSID für Laptops und Smartphones von Studierenden und Mitarbeitern und nutzen Sie 802.1X für die Authentifizierung. Erstellen Sie eine separate WPA2-Personal-SSID mit Per-Device PSK auf den 2,4-GHz- und 5-GHz-Bändern speziell für die älteren IoT-Geräte.

Kommentar des Prüfers: Dieses Design erfüllt die WPA3-Anforderung für das 6-GHz-Band und behält gleichzeitig die Kompatibilität für ältere Geräte bei. Es vermeidet die Komplexität des WPA3-Übergangsmodus und bietet einen klaren Migrationspfad zu 802.1X für verwaltete Endpunkte.

Übungsfragen

Q1. Sie stellen Wi-Fi 6E Access Points bereit und müssen 6-GHz-Clients unterstützen. Ihr bestehendes 5-GHz-Netzwerk verwendet iPSK für IoT-Geräte. Können Sie die iPSK-Konfiguration auf das 6-GHz-Band ausweiten?

Hinweis: Berücksichtigen Sie die obligatorischen Sicherheitsprotokolle für das 6-GHz-Band.

Musterlösung anzeigen

Nein. Das 6-GHz-Band schreibt WPA3 zwingend vor, und WPA3-SAE unterstützt Per-Device PSK (iPSK) nicht nativ. Sie müssen die IoT-Geräte auf einer WPA2-2,4/5-GHz-SSID belassen oder sie auf 802.1X migrieren, sofern dies unterstützt wird.

Q2. Eine Einzelhandelskette verwendet Aruba MPSK, um Point-of-Sale-Terminals eindeutige Schlüssel zuzuweisen. Sie möchte ihre primäre SSID für mehr Sicherheit auf WPA3 aktualisieren. Was ist der empfohlene Ansatz?

Hinweis: Aruba MPSK erfordert den WPA2-Vier-Wege-Handshake.

Musterlösung anzeigen

Aktivieren Sie den WPA3-Übergangsmodus (WPA2/WPA3-Mixed-Mode) auf der SSID. Die Point-of-Sale-Terminals verbinden sich weiterhin über WPA2 und MPSK, während neuere Geräte sich über WPA3-SAE mit einem gemeinsamen Passwort verbinden können.

Q3. Sie verwalten ein Ruckus-Netzwerk und möchten Per-Device PSK für WPA3-Clients bereitstellen. Welche spezifische Konfiguration ist erforderlich?

Hinweis: Berücksichtigen Sie die proprietäre Erweiterung von Ruckus und deren Backend-Anforderungen.

Musterlösung anzeigen

Sie müssen Ruckus DPSK3 bereitstellen. Dies erfordert Wi-Fi 6 oder neuere Access Points mit der Firmware-Version 7.0 oder höher, die Konfiguration der SSID für den WPA2/WPA3-Mixed-Mode und die Verwendung von Ruckus Cloudpath als RADIUS-Server.

Weiterlesen in dieser Reihe

Server RADIUS: Ein umfassender Leitfaden für Unternehmen

Dieser Leitfaden bietet IT-Managern, Netzwerkarchitekten und CTOs eine definitive technische Referenz zur Server RADIUS-Authentifizierung für Enterprise-WiFi. Er behandelt das AAA-Framework, die 802.1X-Architektur, die Auswahl von EAP-Methoden, die Abwägung zwischen Cloud- und On-Premises-Bereitstellung sowie die dynamische VLAN-Zuweisung. Betreiber von Standorten in den Bereichen Hotellerie, Einzelhandel, Events und im öffentlichen Sektor finden hier praktische Implementierungsanleitungen, Fallstudien aus der Praxis und die Entscheidungsrahmen, die für die Migration von unsicheren Pre-Shared Keys zu einer sicheren, identitätsbasierten Netzwerkzugriffskontrollarchitektur erforderlich sind.

Aruba ClearPass vs. Purple WiFi: Funktionsvergleich und Co-Deployment

Ein umfassender technischer Leitfaden, der die Co-Deployment-Architektur von Aruba ClearPass und Purple WiFi beschreibt. Er behandelt die RADIUS-Proxy-Konfiguration, die dynamische VLAN-Zuweisung und Best Practices für die Bereitstellung sicherer, analysebasierter Gästenetzwerke neben Enterprise-NAC.

Cisco ISE vs. Purple WiFi: Vergleich und Zusammenspiel

Dieser Leitfaden erklärt, wie Cisco ISE und Purple WiFi unterschiedliche, aber komplementäre Rollen in Unternehmensnetzwerken einnehmen. Er beschreibt detailliert, wie Cisco ISE für den sicheren 802.1X-Unternehmenszugang genutzt wird, während Purple für DSGVO-konformes Gäste-WiFi, Marketing-Analysen und CRM-Integration eingesetzt wird.