WiFi sin contraseña: qué es y cómo implementarlo

Esta guía de referencia técnica proporciona a los arquitectos de red y a los gerentes de TI un plan integral para la transición de contraseñas compartidas vulnerables a una autenticación WiFi segura basada en certificados. Cubre la arquitectura 802.1X, las estrategias de implementación de EAP-TLS, la gestión de PKI y el impacto comercial medible de reducir los gastos generales del helpdesk al tiempo que mejora la postura de seguridad empresarial y la preparación para el cumplimiento.

📖 8 min de lectura📝 1,800 palabras🔧 2 ejemplos❓ 3 preguntas📚 8 términos clave

🎧 Escuchar esta guía

Ver transcripción

[0:00 - 1:00] Introduction & Context
Hello, and welcome to this technical briefing from Purple. I'm your Senior Solutions Architect for today's session, and we're tackling a critical architectural shift for enterprise networks: the move to Passwordless WiFi.

If you're an IT director at a retail chain, managing a large hotel, or overseeing a public sector campus, you already know the pain of the Pre-Shared Key — the PSK. It's the single password that everyone shares. It's a security nightmare, it makes compliance audits like PCI DSS incredibly painful, and frankly, it's a massive drain on your helpdesk. Every time a staff member leaves, you technically should rotate that password. But you don't, because it breaks connectivity for every scanner, tablet, and laptop in the building. Today, we're discussing the solution: certificate-based, identity-aware WiFi authentication. It's secure, it's scalable, and it fundamentally changes the operational economics of managing wireless access. Let's dive into the architecture.

[1:00 - 6:00] Technical Deep-Dive
To understand passwordless WiFi, we need to look at the IEEE 802.1X standard. This isn't new technology, but the way we deploy it at scale has evolved significantly.

802.1X relies on three components. First, the Supplicant — that's the client device, your laptop or smartphone. Second, the Authenticator — typically your Wireless Access Point. And third, the Authentication Server — your RADIUS server, tied to an Identity Provider, or IdP, like Active Directory or Okta.

When we say 'passwordless' in an enterprise context, we are almost always talking about EAP-TLS — Extensible Authentication Protocol with Transport Layer Security. EAP-TLS is the gold standard because it mandates mutual authentication. The network proves it's legitimate to the device — preventing evil twin attacks — and the device proves its identity to the network using a unique digital certificate. No passwords are ever transmitted over the air.

The engine behind this is your Public Key Infrastructure, or PKI. This used to be a massive headache to set up on-premise. But today, cloud-managed PKI and RADIUS solutions have commoditised this infrastructure significantly.

The real magic happens in device onboarding. For your corporate assets — the laptops and managed tablets — you leverage your Mobile Device Management platform, like Intune or Jamf. The MDM uses a protocol called SCEP — Simple Certificate Enrollment Protocol — to silently request a certificate from the Certificate Authority and push it to the device. It's zero-touch for the user. They open their laptop, and it's securely connected. No password required. No helpdesk call needed.

For unmanaged devices — BYOD, or guests — we use onboarding portals. The user authenticates once against their corporate directory, or perhaps via a captive portal for guests, and a temporary certificate or a Passpoint profile is pushed to their device.

Speaking of Passpoint, or Hotspot 2.0, this is crucial for venues like stadiums, conference centres, or large retail environments. It allows devices to automatically discover and connect to authorised networks, much like cellular roaming. This is where platforms like Purple add immense value. Purple can act as the Identity Provider for services like OpenRoaming. A guest walks in, their device recognises the network, authenticates securely in the background using a certificate, and they are online. No captive portal every time they visit, but you still get the analytics and engagement capabilities on the back end.

Furthermore, 802.1X allows for dynamic VLAN assignment. The RADIUS server looks at the certificate, identifies the user's group, and tells the Access Point to place them on a specific VLAN. Your point-of-sale terminals are isolated from your corporate staff, who are isolated from the guest network. This is precisely how you achieve compliance and limit your blast radius in the event of a security incident.

[6:00 - 8:00] Implementation Recommendations & Pitfalls
When you're ready to deploy, take a phased approach.

First, audit your infrastructure. Ensure your Wireless LAN Controllers and Access Points support WPA3-Enterprise and 802.1X. Legacy hardware may require firmware updates or replacement.

Second, get your PKI and RADIUS sorted. I strongly recommend cloud-RADIUS for scalability and redundancy. On-premises RADIUS servers become single points of failure in distributed deployments.

Third, nail the onboarding experience. If it's hard for users to get their certificates, your helpdesk will be overwhelmed during the transition.

Now, what are the pitfalls? The biggest one is clock skew. EAP-TLS relies heavily on cryptography, which in turn relies on accurate time. If the time on your client device is out of sync with your RADIUS server, the certificate validation will fail — silently. The user just can't connect, and they don't know why. Ensure everything is syncing to a reliable NTP source.

Another common issue is certificate chain trust. If the client device doesn't have the root CA and any intermediate Certificate Authorities installed, it will reject the server's certificate. Always ensure your RADIUS server is configured to send the full certificate chain during the EAP exchange.

Finally, don't just turn off the old PSK network overnight. Run both SSIDs in parallel, but throttle the bandwidth on the legacy network to incentivise users to migrate to the secure SSID. Give yourself four to six weeks for the transition.

[8:00 - 9:00] Rapid-Fire Q&A
Question one: Is passwordless WiFi only for large enterprises? Not anymore. Cloud-managed RADIUS and PKI have made this accessible for mid-market organisations as well. The operational savings — in helpdesk reduction alone — often justify the investment within the first year.

Question two: What happens if a device is lost or stolen? This is the beauty of EAP-TLS. You don't change a password that affects every single user on the network. You simply revoke that specific device's certificate in your PKI. The RADIUS server checks the Certificate Revocation List, or uses OCSP — the Online Certificate Status Protocol — and immediately blocks that device from the network. Surgical, precise, and instant.

[9:00 - 10:00] Summary & Next Steps
To summarise, moving to passwordless WiFi via 802.1X and EAP-TLS is a strategic imperative for any organisation managing WiFi at scale. It eliminates the security vulnerabilities of shared passwords, it enables granular network segmentation for compliance with frameworks like PCI DSS and GDPR, and it drastically reduces helpdesk overhead.

For your next steps, I recommend conducting an infrastructure readiness assessment this quarter. Evaluate cloud-RADIUS providers, and look closely at how platforms like Purple can streamline the onboarding process — especially for guest and BYOD scenarios — turning what is fundamentally a security upgrade into a genuine business enablement tool.

Thank you for your time today. If you'd like to explore how Purple can support your passwordless WiFi deployment, visit purple dot ai.

Conclusiones clave

✓Passwordless WiFi replaces shared passwords (PSKs) with unique digital certificates per device, fundamentally improving enterprise network security.
✓The IEEE 802.1X standard with EAP-TLS provides mutual authentication — both the device and the network verify each other's identity cryptographically.
✓Eliminating shared passwords drastically reduces helpdesk tickets related to connectivity issues, password rotation, and credential compromise.
✓Deployment requires three core components: a RADIUS server, an Identity Provider (IdP), and a Public Key Infrastructure (PKI) for certificate lifecycle management.
✓Mobile Device Management (MDM) with SCEP enables zero-touch certificate provisioning for corporate assets, requiring no user interaction.
✓Passpoint (Hotspot 2.0) and platforms like Purple provide seamless, secure onboarding for guest and BYOD access, acting as an IdP for OpenRoaming.
✓Dynamic VLAN assignment via RADIUS enables granular network segmentation based on user identity, a key requirement for PCI DSS and GDPR compliance.

Resumen ejecutivo

La transición de las claves precompartidas (PSKs) compartidas a la autenticación WiFi sin contraseña basada en certificados representa un cambio arquitectónico crítico para las redes empresariales. Para los gerentes de TI y los arquitectos de red que operan a escala —ya sea en un hotel de 200 habitaciones, una cadena minorista nacional o un extenso campus del sector público— el enfoque heredado de gestionar una única contraseña para todo el acceso de invitados o BYOD ya no es viable. Introduce vulnerabilidades de seguridad inaceptables, complica el cumplimiento de marcos como PCI DSS y GDPR, y genera un volumen desproporcionado de tickets de helpdesk relacionados con problemas de conectividad y rotación de contraseñas.

El WiFi sin contraseña, fundamentalmente construido sobre el estándar IEEE 802.1X y EAP-TLS (Extensible Authentication Protocol - Transport Layer Security), elimina estos puntos de fricción. Al emitir certificados únicos y criptográficamente seguros a dispositivos individuales, los administradores de red pueden aplicar un control de acceso granular y consciente de la identidad. Esta guía proporciona una referencia técnica completa para implementar WiFi sin contraseña, detallando la arquitectura subyacente, las metodologías de implementación y el retorno de la inversión (ROI) medible que se puede lograr a través de la reducción de los gastos operativos y la mitigación de riesgos. Además, exploramos cómo la integración de una plataforma como Guest WiFi de Purple puede agilizar esta transición, actuando como un robusto Identity Provider (IdP) para facilitar una incorporación segura y sin interrupciones.

Análisis técnico en profundidad: la arquitectura del WiFi sin contraseña

Para comprender la implementación del WiFi sin contraseña, primero hay que deconstruir los componentes centrales del marco de autenticación 802.1X. A diferencia de WPA2-Personal, que se basa en un secreto compartido, 802.1X opera en un modelo tripartito: el Supplicant, el Authenticator y el Authentication Server.

El modelo tripartito 802.1X

El Supplicant es el dispositivo cliente —un smartphone, portátil o sensor IoT— que intenta conectarse a la red. En un entorno sin contraseña, el supplicant debe poseer un certificado digital válido en lugar de una contraseña. El Authenticator es típicamente el Wireless Access Point (WAP) o el controlador de LAN inalámbrica. Actúa como un guardián, no evaluando las credenciales por sí mismo, sino encapsulando la solicitud del supplicant y reenviándola al authentication server a través del protocolo RADIUS. El Authentication Server es la autoridad centralizada —a menudo un servidor RADIUS integrado con un Identity Provider (IdP) como Active Directory, LDAP o un servicio de directorio nativo en la nube. El servidor valida el certificado presentado por el supplicant contra su base de datos y una Certificate Revocation List (CRL).

EAP-TLS: el estándar de oro para la autenticación sin contraseña

Aunque 802.1X admite varios métodos de Extensible Authentication Protocol (EAP), EAP-TLS es universalmente reconocido como el estándar más seguro para implementaciones empresariales. EAP-TLS exige autenticación mutua: el servidor RADIUS presenta su certificado al supplicant, demostrando que la red es legítima y previniendo ataques de gemelo malvado; y el supplicant presenta su certificado de cliente único al servidor RADIUS, demostrando su identidad sin transmitir ningún hash de contraseña por el aire. Este handshake criptográfico mutuo establece un túnel TLS seguro a través del cual se produce la autorización final y la derivación de claves, asegurando la máxima integridad y confidencialidad de los datos.

El papel de la Public Key Infrastructure (PKI)

La implementación de EAP-TLS requiere una robusta Public Key Infrastructure (PKI). La PKI es responsable de generar, emitir y gestionar el ciclo de vida de los certificados digitales. Históricamente, la gestión de una Certificate Authority (CA) local era una barrera de entrada significativa. Sin embargo, las soluciones modernas de PKI gestionadas en la nube y las integraciones de Mobile Device Management (MDM) han automatizado el proceso de aprovisionamiento, permitiendo que los certificados se envíen silenciosamente a los dispositivos gestionados a través de protocolos como SCEP (Simple Certificate Enrollment Protocol) o EST (Enrollment over Secure Transport).

Para dispositivos no gestionados —acceso BYOD o de invitados— las plataformas de incorporación proporcionan un portal de autoservicio donde los usuarios se autentican una vez (por ejemplo, a través de OAuth o SAML contra un directorio corporativo, o a través de un captive portal para invitados) y posteriormente se les aprovisiona con un certificado temporal o un perfil seguro como Passpoint/Hotspot 2.0.

Guía de implementación: despliegue paso a paso

El despliegue de una arquitectura WiFi sin contraseña requiere una planificación cuidadosa y una ejecución por fases. Los siguientes pasos describen un enfoque neutral respecto al proveedor, adecuado para entornos empresariales a gran escala, como los que se encuentran en los sectores de Healthcare o Transport .

Fase 1: Evaluación y preparación de la infraestructura

Antes de alterar los métodos de autenticación, asegúrese de que la infraestructura de red subyacente admita los protocolos requeridos. Verifique que todos los Wireless LAN Controllers y Access Points admitan 802.1X y WPA3-Enterprise; el hardware heredado puede requerir actualizaciones de firmware o reemplazo. Seleccione una solución RADIUS robusta capaz de manejar la carga de autenticación esperada; las soluciones cloud-RADIUS ofrecen alta disponibilidad y escalabilidad en comparación con las implementaciones locales. Determine la fuente principal de verdad para las identidades de usuario (por ejemplo, Azure AD, Okta, Google Workspace) y confirme que el servidor RADIUSr puede comunicarse con este directorio.

Fase 2: Configuración de PKI y Gestión de Certificados

La base del acceso sin contraseña es la gestión del ciclo de vida de los certificados. Implemente una Autoridad de Certificación de confianza: para dispositivos corporativos internos, una CA interna es suficiente; para el acceso de invitados o BYOD, considere una CA pública o un servicio de incorporación especializado. Defina políticas claras de validez de certificados: los dispositivos corporativos pueden recibir certificados válidos por un año, mientras que los certificados de invitados pueden caducar después de 24 horas. Configure mecanismos de revocación, asegurándose de que el servidor RADIUS verifique las Listas de Revocación de Certificados (CRLs) o utilice OCSP para bloquear inmediatamente el acceso a dispositivos perdidos o comprometidos.

Fase 3: Incorporación y Aprovisionamiento de Dispositivos

La experiencia de incorporación determina el éxito de la implementación. Para dispositivos corporativos gestionados, aproveche una solución MDM (por ejemplo, Microsoft Intune, Jamf) para enviar silenciosamente el certificado de CA y el certificado de cliente único utilizando SCEP o EST. Esto no requiere interacción del usuario. Para dispositivos BYOD no gestionados, implemente un portal de incorporación seguro donde los usuarios se conecten a un SSID de aprovisionamiento abierto, se autentiquen mediante credenciales corporativas (SAML/OAuth) y descarguen un perfil de configuración que instale los certificados necesarios y configure el SSID seguro. Para el acceso de invitados en entornos como Hostelería o Comercio Minorista , integre con una plataforma como WiFi Analytics de Purple. Purple puede actuar como IdP, permitiendo a los invitados autenticarse a través de inicio de sesión social o un portal personalizado, después de lo cual se les transfiere sin problemas a una conexión segura y cifrada —a menudo aprovechando los estándares OpenRoaming o Passpoint— sin necesidad de escribir nunca una contraseña de red.

Fase 4: Configuración y Pruebas de Red

Cree el nuevo SSID configurado para WPA3-Enterprise (o WPA2-Enterprise si se requiere soporte heredado) y autenticación 802.1X, apuntando el autenticador al servidor RADIUS. Configure el servidor RADIUS para que devuelva atributos específicos tras una autenticación exitosa —por ejemplo, asignando al usuario a una VLAN específica según su pertenencia a un grupo, colocando al personal en una VLAN corporativa y a los invitados en una VLAN aislada solo para internet. Implemente el SSID seguro primero en un pequeño grupo piloto (el departamento de TI suele ser ideal) y supervise los registros de autenticación meticulosamente para identificar cualquier error de validación de certificados o tiempos de espera de RADIUS antes de una implementación completa.

Mejores Prácticas para Entornos Empresariales

Imponer Autenticación Mutua: Nunca implemente EAP-TLS sin requerir que el solicitante valide el certificado del servidor. No hacerlo expone la red a ataques de intermediario (MitM).

Implementar Validación Estricta de Certificados: Configure los solicitantes para que confíen explícitamente solo en la CA específica que emitió el certificado del servidor RADIUS, y verifique el Nombre Común (CN) o el Nombre Alternativo del Sujeto (SAN) del servidor.

Aprovechar Passpoint (Hotspot 2.0): Para lugares públicos, Passpoint es el futuro de la conectividad sin contraseña. Permite que los dispositivos descubran y se conecten de forma segura automáticamente a redes autorizadas utilizando credenciales proporcionadas por su operador móvil o un IdP de terceros, funcionando de manera muy similar al roaming celular. La licencia Connect de Purple facilita esto al actuar como proveedor de identidad para servicios como OpenRoaming.

Segmentar el Tráfico: Utilice siempre la asignación dinámica de VLAN a través de RADIUS para separar lógicamente diferentes clases de usuarios (terminales POS, personal corporativo, dispositivos IoT, invitados). Esto limita el radio de impacto de cualquier posible compromiso. Para una inmersión más profunda en la segmentación de redes especializadas, consulte nuestra guía sobre WiFi en Hospitales: Una Guía para Redes Clínicas Seguras .

Resolución de Problemas y Mitigación de Riesgos

Incluso con una planificación meticulosa, pueden surgir problemas. Comprender los modos de fallo comunes es fundamental para una resolución rápida.

Desviación del Reloj es la causa más común de fallos de autenticación EAP-TLS. La validación de certificados depende de una sincronización horaria precisa; si la hora en el solicitante, el servidor RADIUS o la CA está desincronizada por más de unos pocos minutos, la validación fallará silenciosamente. Asegúrese de que toda la infraestructura dependa de una fuente NTP fiable.

Problemas de Cadena de Certificados ocurren cuando el solicitante no tiene instalada la cadena de confianza completa —incluidas las CA intermedias—. Rechazará el certificado del servidor. Asegúrese siempre de que el servidor RADIUS esté configurado para enviar la cadena de certificados completa durante el intercambio EAP.

Tiempos de Espera de RADIUS pueden ocurrir si la latencia entre el autenticador (WAP) y el servidor RADIUS es demasiado alta, provocando que el handshake EAP expire. Esto es común en implementaciones distribuidas que utilizan un RADIUS en la nube centralizado. Ajuste los valores de tiempo de espera en el WLC o considere implementar proxies RADIUS regionales.

Certificados Caducados: Los dispositivos que intenten autenticarse con certificados caducados serán rechazados silenciosamente. Implemente una monitorización robusta para alertar a los administradores sobre las próximas caducidades de certificados antes de que afecten a los usuarios.

Para la mitigación de riesgos, mantenga temporalmente la red PSK heredada durante la transición, pero restrinja su ancho de banda o privilegios de acceso para incentivar la migración. Reenvíe todos los registros de autenticación RADIUS a una plataforma SIEM y realice revisiones periódicas de la infraestructura PKI y las políticas RADIUS para asegurar la alineación con los estándares de seguridad actuales.

ROI e Impacto Empresarial

La transición a WiFi sin contraseña es una inversión estratégica con un retorno medible en varias dimensiones.

Métrica	PSK Compartida	Basado en Certificados (802.1X)
Tickets de soporte (conectividad)	Alto — restablecimientos frecuentes de contraseña	Casi nulo — aprovisionamiento automatizado
Riesgo de seguridad	Alto — una única credencial para todos	Bajo — uúnica, revocable por dispositivo
Preparación para el cumplimiento	Baja — sin responsabilidad individual	Alta — registro de auditoría completo por dispositivo
Tiempo de incorporación (corporativo)	Minutos (manual)	Segundos (MDM automatizado)
Revocación de credenciales	Disruptiva — requiere rotación completa de PSK	Instantánea — revocar certificado individual

Reducción de la sobrecarga del servicio de asistencia: La gestión de contraseñas compartidas supone un gran consumo de recursos de TI. La autenticación sin contraseña, especialmente cuando se automatiza a través de MDM o un portal de incorporación de autoservicio, elimina virtualmente los tickets del servicio de asistencia relacionados con contraseñas.

Mejora de la postura de seguridad: Al eliminar los secretos compartidos, el riesgo de robo de credenciales y acceso no autorizado a la red se reduce drásticamente. Cada dispositivo tiene una identidad única y criptográficamente segura que puede revocarse instantáneamente si el dispositivo se pierde o se ve comprometido.

Cumplimiento simplificado: Marcos como PCI DSS requieren controles de acceso estrictos y responsabilidad individual. La autenticación basada en certificados proporciona un registro de auditoría claro de qué dispositivo accedió a la red y cuándo, simplificando la elaboración de informes de cumplimiento.

Mejora de la experiencia del usuario y la captura de datos: Una vez aprovisionado, el proceso de conexión es totalmente transparente para el usuario. En entornos como Retail , esta conectividad sin fricciones anima a los usuarios a unirse a la red, permitiendo a los establecimientos capturar datos valiosos de primera mano e impulsar un engagement personalizado a través de plataformas como Purple.

Para las organizaciones que gestionan entornos de RF complejos, comprender la interacción entre la autenticación y la infraestructura física es crucial. Puede encontrar más información sobre las consideraciones de infraestructura en Su guía para un punto de acceso inalámbrico Ruckus . Además, comprender cómo se aplican conceptos de red más amplios puede ser útil; consulte nuestra guía sobre Redes de área personal (PAN): Tecnologías, aplicaciones, seguridad y tendencias futuras .

Términos clave y definiciones

802.1X

An IEEE standard for port-based network access control, providing an authentication mechanism to devices wishing to attach to a LAN or WLAN. It is the foundational protocol for enterprise-grade, passwordless WiFi.

The core standard that underpins all enterprise WiFi authentication, replacing the shared PSK model.

EAP-TLS (Extensible Authentication Protocol - Transport Layer Security)

A highly secure EAP method that requires mutual authentication using digital certificates on both the client and the server. No passwords are transmitted over the air.

Considered the gold standard for wireless security. The method of choice for any organisation serious about eliminating credential-based risk.

RADIUS (Remote Authentication Dial-In User Service)

A networking protocol that provides centralised Authentication, Authorisation, and Accounting (AAA) management for users who connect and use a network service.

The engine that processes authentication requests from Access Points and validates them against a directory. A RADIUS server is a mandatory component of any 802.1X deployment.

Supplicant

The client device (e.g., laptop, smartphone, IoT sensor) attempting to access the network. In 802.1X, the supplicant must present a valid certificate or credential to gain access.

The starting point of every authentication request. Understanding the supplicant's capabilities (e.g., whether it supports EAP-TLS) is critical during the planning phase.

PKI (Public Key Infrastructure)

A set of roles, policies, hardware, software, and procedures needed to create, manage, distribute, use, store, and revoke digital certificates and manage public-key encryption.

The underlying system required to issue and manage the certificates used in EAP-TLS. Without a functioning PKI, certificate-based authentication is not possible.

Passpoint (Hotspot 2.0)

A Wi-Fi Alliance standard that streamlines network access, allowing devices to automatically discover and connect to authorised WiFi networks without manual authentication steps.

Enables a seamless, cellular-like roaming experience for users across different venues. Particularly relevant for hospitality, retail, and public-sector deployments.

Dynamic VLAN Assignment

The process where a RADIUS server instructs the Authenticator to place a successfully authenticated user onto a specific Virtual LAN based on their identity or group membership.

Crucial for network segmentation, ensuring that IoT devices, guests, and corporate staff are logically isolated from one another — a key requirement for PCI DSS compliance.

SCEP (Simple Certificate Enrollment Protocol)

A protocol that enables network devices to automatically request and receive digital certificates from a Certificate Authority, typically orchestrated by an MDM solution.

The mechanism that enables zero-touch certificate provisioning for corporate devices, eliminating the need for manual certificate installation.

Casos de éxito

A national retail chain with 500 locations is currently using a single WPA2-Personal (PSK) network for both store operations (inventory scanners, POS tablets) and corporate staff laptops. The IT director needs to improve security to meet PCI DSS compliance and reduce the operational burden of rotating the PSK every time an employee leaves. How should they implement passwordless WiFi?

Deploy a Cloud-RADIUS solution integrated with the central Identity Provider (e.g., Azure AD). 2. For corporate laptops, use the existing MDM (Microsoft Intune) to push a unique client certificate via SCEP, configuring devices to connect to a new 'Corp-Secure' SSID using EAP-TLS. 3. For inventory scanners and POS tablets, utilise an onboarding portal to provision device-specific certificates, binding them to a dedicated 'Ops-Secure' VLAN via RADIUS attributes. 4. Retain the PSK network temporarily, but change the password and restrict it to a quarantine VLAN to identify legacy devices that failed to migrate. 5. Once all devices are verified on the 802.1X network, decommission the PSK SSID.

Notas de implementación: This phased approach minimises disruption while achieving the core objectives. Leveraging MDM for laptops provides a zero-touch experience for staff. Segmenting the POS and scanner traffic via dynamic VLAN assignment directly addresses PCI DSS requirements by isolating in-scope systems from general corporate traffic. The temporary quarantine VLAN is a critical risk mitigation step to ensure business continuity during the transition.

A large conference centre wants to offer seamless, secure WiFi to attendees without printing passwords on badges or requiring them to re-enter a captive portal every day. They want to leverage their existing Purple analytics platform. How can they achieve this?

The venue implements a Passpoint (Hotspot 2.0) enabled network infrastructure. 2. They utilise Purple's Connect licence, configuring Purple as the Identity Provider (IdP) for OpenRoaming. 3. When an attendee arrives, if their device already has an OpenRoaming profile (e.g., from their mobile carrier or a previous venue), they connect automatically and securely via EAP-TTLS or EAP-TLS. 4. For users without a profile, they connect to a standard onboarding SSID, authenticate once via the Purple captive portal (providing valuable first-party data), and are prompted to download a secure Passpoint profile. 5. For the remainder of the event, and on subsequent visits, the user connects automatically to the secure network without any passwords.

Notas de implementación: This solution balances security, user experience, and marketing objectives effectively. By utilising Passpoint and OpenRoaming, the venue provides a cellular-like connectivity experience. Integrating Purple as the IdP ensures the venue still captures the necessary analytics and marketing opt-ins during the initial onboarding phase, while eliminating the friction of daily captive portal logins.

Análisis de escenarios

Q1. You are deploying EAP-TLS across a university campus. During the pilot phase, several Windows laptops fail to connect, reporting an authentication error. The RADIUS logs show the server rejected the client certificates. The certificates are valid and issued by the correct internal CA. What is the most likely cause, and how do you resolve it?

💡 Sugerencia:Consider the environmental factors that cryptographic certificate validation relies upon, beyond the certificate content itself.

Mostrar enfoque recomendado

The most likely cause is Clock Skew. EAP-TLS certificate validation is highly sensitive to time discrepancies. If the system time on the Windows laptops is significantly out of sync with the RADIUS server or the Certificate Authority, the certificates will be deemed invalid even if they are within their stated validity period. Resolution: ensure all devices and infrastructure components are configured to sync with a reliable NTP server. Verify time synchronisation on the RADIUS server, the CA, and the client devices.

Q2. A hospital IT director wants to implement passwordless WiFi for all clinical devices (infusion pumps, mobile workstations) but is concerned about the administrative overhead of managing certificates for thousands of headless devices that cannot use an onboarding portal. What is the recommended approach?

💡 Sugerencia:Think about automated provisioning protocols used by device management systems, and how certificates can be delivered without user interaction.

Mostrar enfoque recomendado

The recommended approach is to leverage a Mobile Device Management (MDM) or Unified Endpoint Management (UEM) solution integrated with the hospital's PKI. Using protocols like SCEP (Simple Certificate Enrollment Protocol) or EST (Enrollment over Secure Transport), the MDM can silently request and install unique client certificates onto the clinical devices over the air, requiring zero manual intervention from IT staff or clinicians. The MDM should also be configured to automatically renew certificates before they expire.

Q3. Your organisation is transitioning from a shared PSK network to an 802.1X EAP-TLS network. You plan to run both SSIDs concurrently for one month. However, you want to ensure that users who have successfully migrated to the secure network do not accidentally fall back to the less secure PSK network. How can you configure the infrastructure to prevent this?

💡 Sugerencia:Consider how the RADIUS server can be used to control access on the legacy network, and what information is available to it about devices that have already been provisioned.

Mostrar enfoque recomendado

Implement a RADIUS policy on the legacy PSK network that uses MAC Authentication Bypass (MAB) to identify devices. When a device successfully authenticates via EAP-TLS on the new network, its MAC address is recorded in the RADIUS database. The RADIUS policy for the legacy PSK network can then be configured to deny access — or assign to a quarantine VLAN with restricted bandwidth — for any MAC address known to be provisioned for 802.1X. This forces the device to use the secure SSID and prevents accidental fallback.