Come Passpoint (Hotspot 2.0) trasforma l'esperienza Wi-Fi degli ospiti

Come Passpoint trasforma l'esperienza Wi-Fi degli ospiti Un briefing tecnico di Purple — Circa 10 minuti --- INTRODUZIONE E CONTESTO — circa 1 minuto Benvenuti alla serie di briefing tecnici di Purple. Nei prossimi dieci minuti vi illustrerò qualcosa che, a dire il vero, avrebbe dovuto sostituire il Captive Portal già da anni: Passpoint, noto anche come Hotspot 2.0. Se gestite l'infrastruttura Wi-Fi di un gruppo alberghiero, di una rete di negozi, di uno stadio o di qualsiasi struttura in cui gli ospiti si connettono ripetutamente, vi sarete quasi certamente scontrati con lo stesso ostacolo: ospiti che si lamentano di dover effettuare l'accesso ogni singola volta, l'helpdesk IT sommerso di chiamate per un Wi-Fi che "prima funzionava" e la crescente consapevolezza che la randomizzazione degli indirizzi MAC di iOS 14 e Android 10 ha silenziosamente compromesso la logica di riautenticazione. Passpoint è la risposta a tutti questi problemi. Ma non si tratta di un interruttore magico: è un protocollo progettato ad hoc che richiede una distribuzione mirata. Entriamo quindi nel dettaglio. --- APPROFONDIMENTO TECNICO — circa 5 minuti Iniziamo con il problema principale che Passpoint risolve, che gli ingegneri chiamano il problema della selezione della rete. Nel Wi-Fi tradizionale, il dispositivo esegue la scansione di un SSID noto (il nome di una rete) e, se lo riconosce, si connette. È semplice, ma instabile. Richiede una connessione precedente, non dice nulla sul livello di sicurezza della rete e non supporta il roaming tra le diverse sedi. Ogni volta che un ospite entra nel vostro hotel, il suo dispositivo deve essere indirizzato manualmente verso la vostra rete, quindi intercettato da un Captive Portal e infine autenticato tramite un modulo web. Questo crea attrito. E nel 2026, l'attrito rappresenta uno svantaggio competitivo. Passpoint cambia completamente il paradigma. Invece di cercare il nome di una rete, il dispositivo cerca una rete che supporti le sue credenziali. Prima ancora di tentare la connessione, il dispositivo chiede all'access point: "Supporti il mio provider di identità?". Se la risposta è sì, l'autenticazione avviene automaticamente. Nessuna pagina di login. Nessuna richiesta di password. Nessuna selezione manuale. È il modello di roaming cellulare applicato al Wi-Fi. Il meccanismo che rende possibile tutto questo si chiama Generic Advertisement Service (GAS), combinato con l'Access Network Query Protocol, o ANQP. Quando un access point abilitato a Passpoint trasmette il suo beacon, include quello che viene chiamato un Interworking Element, essenzialmente un flag che indica "supporto lo standard 802.11u", ovvero l'emendamento IEEE alla base di tutto questo. Il dispositivo rileva tale flag, invia una richiesta GAS e, all'interno di tale richiesta, una query ANQP domanda: "Quali Roaming Consortium Organisational Identifier supporti?". L'access point risponde. Se c'è una corrispondenza con un profilo già presente sul dispositivo, si avvia l'handshake completo di autenticazione WPA2 o WPA3 Enterprise.Tale autenticazione utilizza lo standard IEEE 802.1X — lo stesso standard di controllo dell'accesso basato su porta utilizzato nelle reti cablate aziendali — combinato con un metodo EAP. I più comuni sono EAP-TLS, che utilizza certificati; EAP-TTLS, che incapsula in modo sicuro nome utente e password; ed EAP-SIM o EAP-AKA per l'autenticazione basata su SIM degli operatori mobili. Il risultato è una sessione a mutua autenticazione e completamente crittografata. Il dispositivo dimostra la propria identità alla rete e la rete dimostra la propria identità al dispositivo. Questa mutua autenticazione è ciò che previene gli attacchi "evil twin" e gli attacchi "man-in-the-middle" che affliggono gli ambienti Wi-Fi aperti. Ora, un termine che sentirete spesso insieme a Passpoint è OpenRoaming — il framework di federazione della Wireless Broadband Alliance. Ecco la distinzione fondamentale: Passpoint è il veicolo. OpenRoaming è la rete autostradale. Passpoint definisce il modo in cui un dispositivo rileva e si autentica in una rete. OpenRoaming definisce l'ecosistema di fiducia che consente a un fornitore di identità — ad esempio Google, Samsung o un operatore mobile — e a un fornitore di accesso — il vostro hotel, il vostro stadio, il vostro patrimonio immobiliare commerciale — di considerare attendibili le rispettive credenziali senza un accordo bilaterale tra ogni singola coppia. OpenRoaming utilizza un modello PKI hub-and-spoke con tunnel RadSec — ovvero RADIUS su TLS — per inoltrare le richieste di autenticazione attraverso la federazione. L'OI del Roaming Consortium chiave per l'OpenRoaming senza costi di transazione è 5A-03-BA. Vorrete anche trasmettere il legacy Cisco OI, 00-40-96, per la compatibilità con i dispositivi più vecchi e i profili Samsung OneUI. Dal punto di vista della conformità della sicurezza, Passpoint rappresenta un aggiornamento significativo. WPA3-Enterprise utilizza la modalità di sicurezza a 192 bit e impone la forward secrecy — ogni sessione utilizza chiavi di crittografia univoche, quindi la compromissione di una sessione non espone il traffico storico. Per le organizzazioni soggette a PCI DSS — in particolare gli ambienti retail che elaborano pagamenti con carta — o agli obblighi del GDPR in materia di dati personali, l'autenticazione basata su certificati di Passpoint significa che non state raccogliendo credenziali tramite un modulo web, il che riduce sostanzialmente la superficie di gestione dei dati. E poi c'è la randomizzazione degli indirizzi MAC. I moderni dispositivi iOS e Android randomizzano il proprio indirizzo MAC per impostazione predefinita. Questo interrompe i flussi tradizionali di riautenticazione del Captive Portal — il dispositivo appare come nuovo a ogni visita. Passpoint è immune a questo fenomeno. L'autenticazione si basa sulle credenziali, non sul MAC. Il vostro ospite abituale si connette in modo fluido a ogni visita, indipendentemente da quale sia l'indirizzo MAC del suo dispositivo quel giorno. Ciò ha anche un impatto significativo sulla vostra analisi del Wi-Fi — se utilizzate la piattaforma di analytics di Purple, l'autenticazione basata su credenziali ripristina l'accuratezza dei dati relativi ai visitatori di ritorno. --- RACCOMANDAZIONI DI IMPLEMENTAZIONE E TRAPPOLE DA EVITARE — circa 2 minuti Lasciate che vi illustri il quadro pratico di implementazione. I requisiti infrastrutturali sono più complessi rispetto a un Captive Portal, ma sono ampiamente alla portata di qualsiasi organizzazione che utilizzi hardware di classe enterprise. Sono necessari access point certificati Passpoint — la maggior parte degli AP enterprise di Cisco, Aruba, Ruckus e Ubiquiti supporta questa tecnologia oggi. Occorrono un server RADIUS con supporto EAP, un'infrastruttura AAA per la gestione delle credenziali e, idealmente, un server OSU (Online Sign-Up) per il provisioning self-service dei profili. Il lavoro di configurazione si concentra su quattro elementi: le impostazioni ANQP, che definiscono ciò che l'AP pubblicizza prima dell'associazione; i Roaming Consortium OI; le definizioni del realm NAI, che indicano ai dispositivi quali metodi EAP sono supportati; e le informazioni sulla location, utilizzate dai dispositivi per mostrare il contesto della rete. La mia raccomandazione principale per la maggior parte delle location è una strategia a doppio SSID. Utilizza un SSID Passpoint per gli ospiti che ritornano e gli utenti registrati, e mantieni un SSID con Captive Portal per i visitatori al primo accesso. Usa il Captive Portal come funnel di onboarding — presenta l'opzione per installare un profilo Passpoint al termine del flusso di autenticazione della prima visita. Questo modello di onboarding progressivo offre il meglio di entrambi i mondi: un primo accesso semplice e visite successive senza interruzioni. Ora, i potenziali errori. Il fallimento di implementazione più comune che riscontro è considerare Passpoint come un sostituto diretto dei Captive Portal senza strutturare il percorso di onboarding. Se gli ospiti non sanno come installare un profilo, o se il flusso OSU è macchinoso, l'adozione si blocca. Investi sull'esperienza di provisioning. Il secondo errore riguarda la gestione dei certificati. Se utilizzi EAP-TLS con certificati di dispositivo, hai bisogno di un ciclo di vita PKI robusto. I certificati scaduti interromperanno silenziosamente l'autenticazione per i dispositivi interessati — e il tuo helpdesk sarà l'ultimo a saperlo. Automatizza il rinnovo dei certificati e monitora la scadenza in modo proattivo. Terzo: non trascurare il supporto per i dispositivi legacy. Passpoint richiede iOS 7 o versioni successive, Android 6 o versioni successive e Windows 10 o versioni successive. Questo copre la stragrande maggioranza dei dispositivi moderni, ma i dispositivi IoT e alcuni hardware aziendali più datati avranno bisogno di percorsi di accesso alternativi. --- DOMANDE E RISPOSTE RAPIDE — circa 1 minuto Passpoint funziona con gli access point esistenti? Se si tratta di hardware di classe enterprise degli ultimi cinque anni, quasi certamente sì — verifica la certificazione Wi-Fi Alliance Passpoint nella scheda tecnica. Posso ancora raccogliere i dati degli ospiti con Passpoint? Sì, ma il meccanismo cambia. La raccolta dei dati avviene al momento del provisioning del profilo — nel flusso OSU o tramite registrazione basata su app — anziché a ogni login. Questo è in realtà più in linea con il GDPR, poiché il consenso viene acquisito una sola volta, in modo esplicito. E per i locali che desiderano splash page personalizzate con il proprio brand? Le connessioni Passpoint sono invisibili per progettazione, quindi le tradizionali splash page non si applicano. Tuttavia, è possibile attivare notifiche in-app o messaggi push post-connessione se si dispone di un'integrazione con un'app di fidelizzazione. Alcuni operatori utilizzano un modello ibrido in cui la prima visita passa comunque attraverso un Captive Portal personalizzato prima della registrazione a Passpoint. L'adesione a OpenRoaming è gratuita? Il livello senza compensazione (settlement-free) di OpenRoaming, che utilizza l'OI 5A-03-BA, è disponibile gratuitamente tramite la Wireless Broadband Alliance. I livelli commerciali con funzionalità di analisi e monetizzazione sono disponibili tramite i membri della WBA. --- RIASSUNTO E PROSSIMI PASSI — circa 1 minuto Per riassumere: Passpoint non è una tecnologia del futuro — è un protocollo maturo, basato su standard, già implementato in importanti aeroporti, catene alberghiere e stadi a livello globale. La domanda per la tua organizzazione non è se adottarlo, ma quando e come. Se gestisci un gruppo alberghiero, una catena di vendita al dettaglio o un grande locale con visitatori ricorrenti, il caso di ROI è chiaro: riduzione del carico di lavoro dell'helpdesk, miglioramento della soddisfazione degli ospiti, mitigazione del rischio di conformità e dati analitici accurati che non vengono interrotti dalla randomizzazione dei MAC. I tuoi prossimi passi sono semplici. In primo luogo, esegui un audit del tuo parco AP attuale per verificare la certificazione Passpoint. In secondo luogo, valuta la tua infrastruttura RADIUS e determina se hai bisogno di un server OSU per il provisioning self-service. In terzo luogo, progetta la tua strategia a doppio SSID e il percorso di onboarding. E in quarto luogo, se stai considerando la federazione OpenRoaming, contatta la Wireless Broadband Alliance o un fornitore di piattaforme come Purple in grado di gestire l'integrazione della federazione per tuo conto. Questo è il Technical Briefing di Purple su Passpoint e Hotspot 2.0. Per la guida scritta completa, i diagrammi di architettura e gli esempi di implementazione pratica, visita purple.ai. Grazie per l'ascolto.