Per-Device PSK nach Anbieter: iPSK, DPSK, MPSK und PPSK im Vergleich (und WPA3-Unterstützung)

Ein umfassender Vergleich von Per-Device-PSK-Implementierungen bei Cisco Meraki, HPE Aruba, Ruckus, Juniper Mist, Extreme, Fortinet und Ubiquiti UniFi. Erfahren Sie, wie sich WPA3-SAE auf Per-Device-Key-Strategien auswirkt und wann Sie Übergangsmodi implementieren sollten, anstatt auf 802.1X umzusteigen.

📖 6 Min. Lesezeit📝 1,350 Wörter🔧 2 ausgearbeitete Beispiele❓ 3 Übungsfragen📚 8 Schlüsseldefinitionen

Diesen Leitfaden anhören

Podcast-Transkript ansehen

Per-Device PSK by Vendor: iPSK, DPSK, MPSK and PPSK Compared, and WPA3 Support. A Purple Technical Briefing.

Introduction and Context.

Welcome to the Purple technical briefing series. I'm going to walk you through one of the most practically important - and frequently misunderstood - topics in enterprise WiFi right now: per-device pre-shared keys. Specifically, we're going to compare how each of the major vendors implements this capability, what they call it, how it actually works under the hood, and - critically - what happens when you try to move to WPA3.

If you're an IT manager, network architect, or venue operations director running WiFi across a hotel estate, a retail chain, a stadium, or a public-sector campus, this briefing is for you. You've probably already encountered the alphabet soup: iPSK, DPSK, MPSK, PPSK. They all refer to the same concept - giving each device or user its own unique password on a single SSID - but the implementations differ significantly, and those differences matter when you're planning your next infrastructure refresh.

Let's start with the fundamentals, then work through each vendor, and finish with the WPA3 question that everyone is wrestling with right now.

Technical Deep-Dive.

So what is per-device PSK, and why does it exist?

Traditional WPA2-Personal uses a single shared passphrase for an entire SSID. Everyone on your guest network uses the same password. That creates two problems. First, you can't revoke access for one device without changing the password for everyone. Second, you have no per-device visibility or policy enforcement. Per-device PSK solves both. Each device or user gets a unique credential. You can revoke one without touching the others. You can assign different VLANs, bandwidth policies, or access schedules per key. It's the middle ground between the simplicity of WPA2-Personal and the complexity of full 802.1X enterprise authentication.

Now let's look at how each vendor implements this.

Cisco Meraki calls it iPSK - Identity Pre-Shared Key. Meraki supports two modes. Without RADIUS, you configure up to five unique PSKs directly in the Meraki dashboard, each mapped to a VLAN. It's quick to set up and requires no external infrastructure. With RADIUS - typically Cisco ISE - you can scale to thousands of keys. The client associates, the AP sends the MAC address and a PSK hint to the RADIUS server, the server returns the correct per-device key, and the standard WPA2 four-way handshake completes using that key as the Pairwise Master Key. The key insight here is that the RADIUS server is doing the lookup, not the AP. The AP just facilitates the exchange.

HPE Aruba calls it MPSK - Multiple Pre-Shared Key. Aruba Central and Aruba Instant support MPSK in two modes: MPSK Local, where keys are stored on the controller or AP cluster, and MPSK with ClearPass, Aruba's RADIUS and policy engine. ClearPass can hold tens of thousands of keys, assign dynamic VLANs, and apply role-based policies per key. The authentication flow is essentially the same as Meraki's RADIUS mode - MAC-based lookup returns the per-device key before the four-way handshake.

Ruckus - now part of CommScope - calls it DPSK, Dynamic Pre-Shared Key. This is arguably the most mature implementation in the market. Ruckus DPSK has been available since the early SmartZone days. In local mode, the DPSK service runs on the controller and holds the key database. In RADIUS mode, it integrates with Cloudpath, Ruckus's own network access control platform. What makes Ruckus notable is DPSK3 - their WPA3 extension of DPSK, which we'll come back to shortly. DPSK3 is available on Wi-Fi 6, 6E, and 7 access points running firmware 7.0 or later, and it operates in WPA2 slash WPA3 mixed mode.

Juniper Mist calls it PPSK - Private Pre-Shared Key - or sometimes Multi-PSK. Mist stores keys in the cloud, in the Mist organisation or site key database, with a limit of 5,000 keys per site. Keys can be assigned per user, per device, or per group. Mist also integrates with its Access Assurance service - the cloud-native NAC - which adds RADIUS-based PSK lookup. Critically, Juniper has announced WPA3 RADIUS PSK support through Access Assurance, allowing a single WPA3-Personal SSID to serve multiple passphrases. This is one of the more forward-looking implementations in the market.

Extreme Networks - which acquired Aerohive - calls it PPSK, Private Pre-Shared Key, through ExtremeCloud IQ. Extreme's implementation supports local key storage on the AP itself, which is useful for branch or remote sites with limited connectivity. It also supports RADIUS-based lookup via ExtremeCloud IQ's cloud RADIUS service. MAC binding is available, which ties a PPSK to a specific device MAC address for additional security.

Fortinet calls it MPSK, Multiple Pre-Shared Key, managed through FortiAP and the FortiGate wireless controller. Fortinet's implementation is notable because it explicitly supports WPA3-SAE and WPA3-SAE Transition security modes in its MPSK profiles - as of FortiAP firmware 8.0. You can create an MPSK profile with WPA3-SAE keys, assign them to a VAP, and enable dynamic VLAN assignment per key. This is one of the cleaner WPA3 MPSK implementations available today.

Ubiquiti UniFi calls it Private Pre-Shared Keys, or Private PSK. UniFi's implementation is local only - keys are stored in the UniFi Network controller, not in an external RADIUS server. You can assign different VLANs per key and set client limits per key. The significant limitation: as of mid-2026, UniFi Private PSK only works on WPA2 networks on 2.4 GHz and 5 GHz. WPA3 and 6 GHz are not supported. For smaller deployments this is fine, but it's a constraint worth knowing before you commit to a UniFi estate at scale.

Now, the WPA3 question. This is where it gets technically interesting.

WPA2-Personal uses a four-way handshake. The client and AP derive a Pairwise Transient Key from a shared Pairwise Master Key, which itself is derived from the passphrase. Because the PMK derivation happens after the RADIUS lookup, the AP can substitute a per-device key at that point. The standard doesn't care - it just sees a valid PMK.

WPA3-Personal replaces the four-way handshake with SAE - Simultaneous Authentication of Equals. SAE is a Diffie-Hellman-based protocol. Both sides commit to a shared password element derived from the passphrase before the association completes. The critical difference: the password must be known to both sides before the SAE exchange begins. There's no point in the protocol where a RADIUS server can inject a different key per device. The AP and client are already doing a cryptographic dance with a single shared value.

This is why WPA3 currently only allows one key per SSID in its standard form. It's not a firmware limitation. It's a protocol constraint.

The workarounds fall into three categories.

First, WPA3 transition mode - also called WPA2 slash WPA3 mixed mode. The SSID advertises both WPA2-PSK and WPA3-SAE. WPA2 clients use the four-way handshake and can receive per-device keys via RADIUS. WPA3 clients use SAE with a single shared password. This is the most widely deployed approach today and is supported by Cisco Meraki, HPE Aruba, Ruckus, and others.

Second, proprietary extensions. Ruckus DPSK3 is the clearest example. By running in WPA2 slash WPA3 mixed mode with Cloudpath as the RADIUS backend, DPSK3 allows WPA3-capable devices to use SAE while the system manages per-device key binding through the Cloudpath integration. Juniper's Access Assurance WPA3 RADIUS PSK takes a similar approach. Fortinet's MPSK with WPA3-SAE Transition mode lets you mix WPA2-Personal and WPA3-SAE keys in the same MPSK profile.

Third, moving to 802.1X. For managed endpoints - corporate laptops, staff devices, anything you can push a certificate to - WPA3-Enterprise with EAP-TLS is the clean answer. It's fully compatible with WPA3 and 6 GHz, provides per-device identity, and integrates with Microsoft Entra ID, Okta, and Google Workspace. The trade-off is deployment complexity and the need for a certificate infrastructure.

Implementation Recommendations and Pitfalls.

So what should you actually do?

If you're running a hotel estate with a mix of guest devices, IoT sensors, and staff devices, the pragmatic answer in 2026 is a hybrid SSID design. Keep a WPA2-Personal SSID with per-device PSK for legacy IoT and guest devices. Run a WPA3-Enterprise SSID for staff devices you control. Use transition mode on your primary guest SSID to support both WPA2 and WPA3 clients without fragmenting your SSID count.

If you're on Ruckus and running Wi-Fi 6 or newer hardware, DPSK3 in WPA2 slash WPA3 mixed mode with Cloudpath is worth evaluating. It gives you the closest thing to native WPA3 per-device PSK available today.

If you're on Fortinet, the MPSK profile with WPA3-SAE Transition is straightforward to configure and gives you a clean migration path.

If you're on UniFi, be explicit with your stakeholders that Private PSK is WPA2-only. For venues deploying Wi-Fi 6E or Wi-Fi 7 with 6 GHz radios, you'll need a different authentication strategy for that band.

The biggest pitfall we see is teams assuming that enabling WPA3 on an existing per-device PSK SSID will just work. It won't. Test in a pilot site first. Check your AP firmware versions - DPSK3 requires firmware 7.0 or later on Ruckus, for example. And check your RADIUS server compatibility - Ruckus DPSK3 in mixed mode requires Cloudpath specifically, not a generic RADIUS server.

A second pitfall is key sprawl. Per-device PSK is excellent for accountability, but only if you have a process to revoke keys when devices are decommissioned. Without lifecycle management, you end up with thousands of orphaned keys and no audit trail. Integrate your key provisioning with your device management workflow from day one.

Rapid-Fire Questions and Answers.

Can I use per-device PSK on a 6 GHz SSID? No. 6 GHz mandates WPA3-only, and WPA3 doesn't natively support per-device PSK. Use 802.1X or a separate 2.4 slash 5 GHz SSID for devices that need per-device PSK.

Does per-device PSK satisfy PCI DSS requirements? Per-device PSK on WPA2 can satisfy PCI DSS 4.0 network segmentation requirements if each key maps to an isolated VLAN. But PCI DSS strongly recommends 802.1X for cardholder data environments. Check with your QSA.

What's the maximum number of keys per SSID? It varies significantly. Cisco Meraki with ISE supports very large deployments. Ruckus DPSK supports tens of thousands of keys. Juniper Mist caps at 5,000 per site. UniFi is effectively limited by controller memory. Always check vendor documentation for your specific firmware version.

How does Purple fit into this? Purple sits as a cloud overlay on top of your existing hardware. We integrate with Cisco Meraki, HPE Aruba, Ruckus, Juniper Mist, Ubiquiti UniFi, Cambium, Extreme, and Fortinet. For Guest WiFi and Staff WiFi deployments, Purple handles the identity layer - authentication, data capture, consent management - and passes the appropriate VLAN or policy assignment back to your hardware via RADIUS or API. You keep your existing per-device PSK infrastructure; Purple adds the identity and analytics layer on top.

Summary and Next Steps.

Let's pull this together.

Per-device PSK - whether you call it iPSK, DPSK, MPSK, or PPSK - is a mature, well-supported capability across all major enterprise WiFi vendors. The implementations differ in where keys are stored, how they scale, and how they integrate with RADIUS.

WPA3's SAE protocol creates a genuine technical constraint for per-device PSK. The standard doesn't support it natively. The practical answers today are transition mode, proprietary extensions like DPSK3, or moving to 802.1X for devices that support it.

The vendor-by-vendor summary: Cisco Meraki iPSK works well with ISE in RADIUS mode; WPA3 support is via transition mode. HPE Aruba MPSK with ClearPass is highly scalable; WPA3 MPSK is in active development. Ruckus DPSK3 is the most mature WPA3 per-device PSK solution available. Juniper Mist Access Assurance adds WPA3 RADIUS PSK. Fortinet MPSK explicitly supports WPA3-SAE in its MPSK profiles. Extreme PPSK is solid for local and RADIUS modes. UniFi Private PSK is WPA2-only and local-only.

For your next steps: audit your current per-device PSK deployment, identify which devices are WPA3-capable, and design a hybrid SSID strategy that serves both. If you're planning a hardware refresh, prioritise Wi-Fi 6 or Wi-Fi 7 APs with confirmed DPSK3 or WPA3 MPSK support.

If you want to understand how Purple integrates with your specific hardware vendor to add identity management and analytics on top of your per-device PSK deployment, visit purple.ai or speak to your account team.

That's it for this briefing. Thanks for listening.

Executive Summary

Per-Device Pre-Shared Key (PSK) ist die entscheidende Übergangstechnologie für Unternehmensnetzwerke, die eine Sichtbarkeit auf Geräteebene benötigen, ohne die Komplexität einer vollständigen 802.1X-Authentifizierung in Kauf nehmen zu müssen. Während die Anbieter unterschiedliche Namen verwenden – Cisco Meraki iPSK, HPE Aruba MPSK, Ruckus DPSK, Juniper Mist PPSK –, ist das grundlegende Ziel identisch: die Zuweisung eines eindeutigen Passworts für jedes Gerät auf einer einzigen SSID.

Der Wechsel zu WPA3 bringt jedoch eine erhebliche architektonische Einschränkung mit sich. WPA3 ersetzt den traditionellen WPA2-Vier-Wege-Handshake durch Simultaneous Authentication of Equals (SAE). SAE erfordert, dass das Passwort sowohl dem Access Point als auch dem Client bekannt ist, bevor der Austausch beginnt. Dies bricht den standardmäßigen RADIUS-basierten Lookup-Mechanismus, der von den meisten Per-Device-PSK-Implementierungen verwendet wird. Dieser Leitfaden beschreibt im Detail, wie jeder führende Anbieter Per-Device PSK handhabt, wie Schlüssel gespeichert und abgefragt werden und wie sie der WPA3-SAE-Herausforderung begegnen – von WPA3-Übergangsmodi bis hin zu proprietären Erweiterungen wie Ruckus DPSK3.

Technical Deep-Dive

Die Architektur von Per-Device PSK

Das herkömmliche WPA2-Personal verwendet eine einzige gemeinsame Passphrase für eine gesamte SSID. Jedes Gerät nutzt dasselbe Passwort. Das bedeutet, dass Sie den Zugriff für ein einzelnes Gerät nicht widerrufen können, ohne das Passwort für alle anderen zu ändern. Darüber hinaus haben Sie keine Sichtbarkeit auf Geräteebene oder Richtliniendurchsetzung.

Per-Device PSK löst dieses Problem, indem für jedes Gerät oder jeden Benutzer ein eindeutiger Berechtigungsnachweis ausgestellt wird. Sie können einen Schlüssel widerrufen, ohne die anderen zu beeinträchtigen. Sie können pro Schlüssel unterschiedliche VLANs, Bandbreitenrichtlinien oder Zugriffszeitpläne zuweisen.

Der technische Mechanismus basiert auf dem WPA2-Vier-Wege-Handshake. Wenn sich ein Client verbindet, sendet der Access Point die MAC-Adresse des Clients in einer Access-Request-Nachricht an einen RADIUS-Server (oder eine lokale Datenbank). Der RADIUS-Server gibt eine Access-Accept-Nachricht zurück, die den spezifischen Schlüssel für dieses Gerät enthält. Der Access Point schließt dann den Vier-Wege-Handshake unter Verwendung dieses spezifischen Schlüssels ab, um den Pairwise Master Key (PMK) abzuleiten.

Die WPA3-SAE-Herausforderung

WPA3-Personal ersetzt den Vier-Wege-Handshake durch SAE. SAE ist ein Diffie-Hellman-basiertes Protokoll, bei dem sich beide Seiten auf ein gemeinsames Passwortelement festlegen, das aus der Passphrase abgeleitet wird, bevor die Verbindung hergestellt wird.

Der entscheidende Unterschied besteht darin, dass das Passwort beiden Seiten bekannt sein muss, bevor der SAE-Austausch beginnt. Es gibt im Protokoll keinen Punkt, an dem ein RADIUS-Server einen anderen Schlüssel pro Gerät einschleusen kann. Der Access Point und der Client führen bereits einen kryptografischen Austausch durch, der auf einem einzigen gemeinsamen Wert basiert. Dies ist eine durch den Standard IEEE 802.11 definierte Protokolleinschränkung, keine Einschränkung des jeweiligen Anbieters.

Anbieter-Implementierungen im Vergleich

Jeder große Enterprise-Anbieter unterstützt Per-Device PSK, aber die Implementierungen und die WPA3-Bereitschaft variieren.

Cisco Meraki (iPSK) Cisco Meraki nennt es Identity Pre-Shared Key (iPSK). Es werden zwei Modi unterstützt. Ohne RADIUS können Sie bis zu fünf eindeutige PSKs direkt im Meraki-Dashboard konfigurieren. Mit RADIUS – typischerweise Cisco ISE – können Sie auf bis zu 100.000 Schlüssel skalieren. Der RADIUS-Server führt die Abfrage durch und gibt den gerätespezifischen Schlüssel zurück. Bei WPA3 setzt Meraki auf den WPA3-Übergangsmodus (WPA2/WPA3-Mischmodus), bei dem WPA2-Clients den Vier-Wege-Handshake nutzen und gerätespezifische Schlüssel erhalten, während WPA3-Clients SAE mit einem einzigen gemeinsamen Passwort verwenden.

HPE Aruba (MPSK) HPE Aruba nennt es Multiple Pre-Shared Key (MPSK). Aruba unterstützt MPSK Local, bei dem die Schlüssel auf dem Controller gespeichert werden, und MPSK mit ClearPass, das als RADIUS- und Richtlinien-Engine fungiert. ClearPass kann Zehntausende von Schlüsseln verwalten und dynamische VLANs zuweisen. Wie bei Meraki wird die WPA3-Unterstützung derzeit über den Übergangsmodus abgewickelt.

Ruckus (DPSK und DPSK3) Ruckus nennt es Dynamic Pre-Shared Key (DPSK). Es ist eine der ausgereiftesten Implementierungen, die seit den frühen SmartZone-Tagen verfügbar ist. Im RADIUS-Modus lässt es sich in Cloudpath integrieren. Ruckus zeichnet sich durch DPSK3 aus, ihre WPA3-Erweiterung. DPSK3 arbeitet im WPA2/WPA3-Mischmodus und erfordert Cloudpath als RADIUS-Backend. Es ermöglicht WPA3-fähigen Geräten die Nutzung von SAE, während das System die gerätespezifische Schlüsselbindung über die Cloudpath-Integration verwaltet.

Juniper Mist (PPSK / Multi-PSK) Juniper Mist nennt es Private Pre-Shared Key (PPSK) oder Multi-PSK. Mist speichert Schlüssel in der Cloud-Datenbank, mit einem Limit von 5.000 Schlüsseln pro Standort. Schlüssel können pro Benutzer, pro Gerät oder pro Gruppe zugewiesen werden. Mist lässt sich in seinen Access Assurance-Dienst integrieren, der eine RADIUS-basierte PSK-Abfrage hinzufügt. Juniper unterstützt WPA3 RADIUS PSK über Access Assurance, sodass eine einzige WPA3-Personal-SSID mehrere Passphrasen bedienen kann.

Extreme Networks (PPSK) Extreme Networks nennt es Private Pre-Shared Key (PPSK) über ExtremeCloud IQ. Es unterstützt die lokale Schlüsselspeicherung direkt auf dem Access Point, was für Außenstellen nützlich ist, sowie die RADIUS-basierte Abfrage über den Cloud-RADIUS-Dienst von ExtremeCloud IQ. Extreme unterstützt MAC-Binding, um einen PPSK an ein bestimmtes Gerät zu binden.

Fortinet (MPSK) Fortinet nennt es Multiple Pre-Shared Key (MPSK), verwaltet über FortiAP und den FortiGate-Wireless-Controller. Fortinet unterstützt explizit die Sicherheitsmodi WPA3-SAE und WPA3-SAE Transition in seinen MPSK-Profilen. Sie können ein MPSK-Profil mit WPA3-SAE-Schlüsseln erstellen, diese einer VAP zuweisen und die dynamische VLAN-Zuweisung aktivieren.

Ubiquiti UniFi (Private PSK) Ubiquiti UniFi nennt es Private Pre-Shared Keys. Die Implementierung ist rein lokal; die Schlüssel werden im UniFi Network Controller gespeichert. Sie können verschiedene VLANs pro Schlüssel. UniFi Private PSK funktioniert jedoch nur in WPA2-Netzwerken auf 2,4 GHz und 5 GHz. WPA3 und 6 GHz werden nicht unterstützt.

Implementierungsleitfaden

Befolgen Sie bei der Bereitstellung von per-device PSK diese Schritte, um eine sichere und skalierbare Architektur zu gewährleisten.

Auditieren Sie Ihre Gerätelandschaft: Identifizieren Sie, welche Geräte WPA3 unterstützen und welche auf WPA2 angewiesen sind. Ältere IoT-Geräte werden auf absehbare Zeit wahrscheinlich WPA2 benötigen.
Wählen Sie die richtige SSID-Strategie: Implementieren Sie für eine gemischte Umgebung ein hybrides SSID-Design. Behalten Sie eine WPA2-Personal-SSID mit per-device PSK für ältere IoT- und Gastgeräte bei. Stellen Sie eine WPA3-Enterprise-SSID für verwaltete Mitarbeitergeräte bereit.
Implementieren Sie den Übergangsmodus mit Sorgfalt: Wenn Sie den WPA3-Übergangsmodus auf Ihrer primären Gast-SSID verwenden, stellen Sie sicher, dass Ihre Access Points und RADIUS-Server korrekt konfiguriert sind, um die gemischten Authentifizierungsflüsse zu verarbeiten.
Integrieren Sie das Identitätsmanagement: Verwalten Sie Schlüssel nicht manuell. Integrieren Sie Ihre Schlüsselbereitstellung in Ihren Geräteverwaltungs-Workflow oder einen Identitätsanbieter wie Microsoft Entra ID oder Okta.
Konfigurieren Sie dynamische VLANs: Ordnen Sie jeden per-device PSK einem bestimmten VLAN zu, um eine Netzwerksegmentierung zu erzwingen. Dies ist entscheidend, um IoT-Geräte vom Gast-Traffic zu isolieren.

Best Practices

Lebenszyklusmanagement durchsetzen: Per-device PSK erfordert ein striktes Lebenszyklusmanagement. Sie müssen über einen Prozess zum Widerrufen von Schlüsseln verfügen, wenn Geräte außer Betrieb genommen werden, um eine unkontrollierte Verbreitung von Schlüsseln zu verhindern.
Nutzen Sie 802.1X für verwaltete Endgeräte: Wechseln Sie bei Firmen-Laptops und Mitarbeitergeräten zu WPA3-Enterprise mit EAP-TLS. Dies bietet stärkere Sicherheit und native Kompatibilität mit Zero-Trust-Modellen.
WPA3-Upgrades testen: Aktivieren Sie WPA3 niemals auf einer bestehenden per-device PSK SSID, ohne dies an einem Pilotstandort zu testen. Überprüfen Sie die Firmware-Versionen und die Kompatibilität der RADIUS-Server.
Nutzen Sie Purple für die Identität: Integrieren Sie Purple, um die Identitätsebene zu verwalten. Purple fungiert als Cloud-Overlay, das Authentifizierung, Datenerfassung und Einwilligungsmanagement bereitstellt und die entsprechende VLAN-Zuweisung über RADIUS an Ihre Hardware zurückgibt. Weitere Details finden Sie unter Enterprise WiFi Security: A Complete Guide for 2026 .

Fehlerbehebung & Risikominderung

Clients können keine Verbindung über WPA3 herstellen: Wenn ältere Geräte keine Verbindung zu einer SSID im WPA3-Übergangsmodus herstellen können, liegt dies häufig an inkompatiblen WLAN-Treibern. Stellen Sie sicher, dass die Client-Treiber aktualisiert sind. Wenn das Problem weiterhin besteht, verschieben Sie ältere Geräte auf eine dedizierte WPA2-only-SSID.
RADIUS-Timeouts: Wenn der Access Point bei der Wartung auf den per-device-Schlüssel vom RADIUS-Server ein Timeout überschreitet, überprüfen Sie den Netzwerkpfad und stellen Sie sicher, dass der RADIUS-Server so skaliert ist, dass er die Authentifizierungslast bewältigen kann.
Fehler bei der VLAN-Zuweisung: Wenn sich ein Gerät verbindet, aber die falsche IP-Adresse erhält, überprüfen Sie die VLAN-Zuordnung in der RADIUS-Access-Accept-Nachricht und stellen Sie sicher, dass das VLAN auf dem Access Point und dem Switch-Port vorhanden ist.

ROI & geschäftliche Auswirkungen

Die Implementierung von per-device PSK liefert einen messbaren geschäftlichen Mehrwert, indem Support-Tickets reduziert und die Sicherheit verbessert werden.

Entlastung des Helpdesks: Die Automatisierung der Schlüsselbereitstellung und des -widerrufs macht manuelle Passwort-Resets überflüssig.
Verbesserte Sicherheitslage: Die Isolierung von Geräten in separaten VLANs basierend auf ihrem eindeutigen Schlüssel verringert den Schadensradius eines kompromittierten Geräts.
Erhöhte Transparenz: Per-device-Schlüssel bieten eine detaillierte Sicht auf die Netzwerkauslastung, sodass Sie Bandbreitenfresser identifizieren und die Kapazitätsplanung optimieren können.

Schlüsseldefinitionen

Per-Device PSK

A security mechanism that assigns a unique Pre-Shared Key to each device or user on a single SSID, allowing for individual revocation and dynamic policy assignment.

Used when IT teams need per-device visibility and control without deploying full 802.1X authentication.

WPA3-SAE

Simultaneous Authentication of Equals. The secure key establishment protocol used in WPA3-Personal, replacing the WPA2 four-way handshake.

Relevant when upgrading to WPA3 or deploying 6 GHz networks, as it fundamentally changes how passwords are authenticated.

Transition Mode

A mixed-mode configuration where an SSID advertises support for both WPA2-PSK and WPA3-SAE, allowing legacy and modern clients to connect to the same network name.

The standard approach for migrating existing networks to WPA3 without stranding legacy devices.

MAC Binding

The process of associating a specific per-device PSK with the hardware MAC address of a specific device, preventing the key from being used on another device.

Used to prevent credential sharing and ensure strict access control for IoT devices.

Dynamic VLAN Assignment

The ability to assign a device to a specific Virtual LAN based on its authentication credentials (such as its per-device PSK), rather than the SSID it connects to.

Essential for network segmentation, allowing IT to isolate guest traffic from corporate traffic on the same access point.

iPSK

Identity Pre-Shared Key. Cisco Meraki's implementation of per-device PSK.

Encountered when managing Cisco Meraki wireless networks.

DPSK

Dynamic Pre-Shared Key. Ruckus's implementation of per-device PSK, with DPSK3 being the WPA3-compatible version.

Encountered when managing Ruckus wireless networks.

MPSK

Multiple Pre-Shared Key. The term used by HPE Aruba and Fortinet for their per-device PSK implementations.

Encountered when managing HPE Aruba or Fortinet wireless networks.

Ausgearbeitete Beispiele

A 200-room hotel needs to provide secure Guest WiFi and isolate smart TVs in each room. They currently use a single WPA2-Personal password for all guests and devices.

Deploy per-device PSK using a RADIUS backend. Integrate Purple to capture guest data and issue a unique PSK to each guest upon registration. For the smart TVs, generate a unique PSK for each TV and map it to a dedicated IoT VLAN. Configure the guest PSKs to map to a separate Guest VLAN with client isolation enabled.

Kommentar des Prüfers: This approach secures the network by isolating the IoT devices from the guest traffic. Using Purple automates the guest key provisioning, reducing helpdesk tickets, while the dedicated IoT VLAN ensures the smart TVs cannot be accessed by guests.

A university campus is upgrading to Wi-Fi 6E and must support WPA3 on the 6 GHz band, but they have thousands of legacy IoT devices that only support WPA2.

Implement a hybrid SSID design. Create a WPA3-Enterprise SSID for student and staff laptops and smartphones, using 802.1X for authentication. Create a separate WPA2-Personal SSID with per-device PSK on the 2.4 GHz and 5 GHz bands specifically for the legacy IoT devices.

Kommentar des Prüfers: This design satisfies the WPA3 requirement for the 6 GHz band while maintaining compatibility for legacy devices. It avoids the complexities of WPA3 transition mode and provides a clear migration path to 802.1X for managed endpoints.

Übungsfragen

Q1. You are deploying Wi-Fi 6E access points and need to support 6 GHz clients. Your existing 5 GHz network uses iPSK for IoT devices. Can you extend the iPSK configuration to the 6 GHz band?

Hinweis: Consider the mandatory security protocols for the 6 GHz band.

Musterlösung anzeigen

No. The 6 GHz band mandates WPA3, and WPA3-SAE does not natively support per-device PSK (iPSK). You must keep the IoT devices on a WPA2 2.4/5 GHz SSID or migrate them to 802.1X if supported.

Q2. A retail chain uses Aruba MPSK to assign unique keys to point-of-sale terminals. They want to upgrade their primary SSID to WPA3 for better security. What is the recommended approach?

Hinweis: Aruba MPSK requires the WPA2 four-way handshake.

Musterlösung anzeigen

Enable WPA3 transition mode (WPA2/WPA3 mixed mode) on the SSID. The point-of-sale terminals will continue to connect using WPA2 and MPSK, while newer devices can connect using WPA3-SAE with a shared password.

Q3. You manage a Ruckus network and want to deploy per-device PSK for WPA3 clients. What specific configuration is required?

Hinweis: Consider the proprietary extension Ruckus offers and its backend requirements.

Musterlösung anzeigen

You must deploy Ruckus DPSK3. This requires Wi-Fi 6 or newer access points running firmware 7.0 or later, configuring the SSID for WPA2/WPA3 mixed mode, and using Ruckus Cloudpath as the RADIUS server.

Weiterlesen in dieser Reihe

Was ist MAC-Adressauthentifizierung? Wann man sie nutzen und wann man sie vermeiden sollte

Dieser maßgebliche technische Leitfaden behandelt die MAC-Adressauthentifizierung in Unternehmens-WiFi-Umgebungen – wie RADIUS-basierte MAC-Authentifizierung auf Layer 2 funktioniert, ihre inhärenten Sicherheitslücken (einschließlich MAC-Spoofing und die Auswirkungen der MAC-Randomisierung auf OS-Ebene) und die genauen operativen Kontexte, in denen sie ein gültiges Werkzeug zur Verwaltung von IoT- und kopflosen Geräten bleibt. Er bietet umsetzbare Bereitstellungsanleitungen für IT-Manager und Netzwerkarchitekten in den Bereichen Gastgewerbe, Einzelhandel, Gesundheitswesen und öffentlicher Sektor, mit realen Fallbeispielen, Entscheidungsrahmen und Integrationskontext für die Gast-WiFi- und Analyseplattform von Purple.

Einrichtung von Enterprise WiFi auf iOS und macOS mit 802.1X

Dieser maßgebliche Leitfaden bietet leitenden IT-Führungskräften umsetzbare Schritte für die Bereitstellung von 802.1X Enterprise WiFi auf iOS- und macOS-Geräten. Er behandelt die zertifikatbasierte Authentifizierung (EAP-TLS), MDM-Konfigurationsprofile und die Architekturintegration zur Sicherung von Unternehmensnetzwerken bei gleichzeitiger Unterstützung von BYOD-Initiativen.

Einrichtung von Enterprise WiFi auf Android-Geräten mit EAP-TLS

Dieser technische Leitfaden bietet erfahrenen IT-Führungskräften einen umfassenden Plan für die Bereitstellung der 802.1X EAP-TLS-Authentifizierung auf Android-Geräten. Er behandelt die architektonischen Mechanismen, manuelle und MDM-gesteuerte Implementierungsstrategien sowie Fehlerbehebungsmethoden, die zur Sicherung von Unternehmens-WLAN-Netzwerken erforderlich sind.