Per-Device PSK por Vendor: Comparativo de iPSK, DPSK, MPSK e PPSK (e Suporte a WPA3)

PSK por Dispositivo por Fabricante: Comparativo entre iPSK, DPSK, MPSK e PPSK, e o Suporte a WPA3. Um Informativo Técnico da Purple. Introdução e Contexto. Bem-vindo à série de informativos técnicos da Purple. Vou guiar você por um dos tópicos mais importantes na prática - e frequentemente incompreendido - em WiFi corporativo atualmente: chaves pré-compartilhadas por dispositivo. Especificamente, vamos comparar como cada um dos principais fabricantes implementa essa funcionalidade, como eles a chamam, como ela realmente funciona nos bastidores e - criticamente - o que acontece quando você tenta migrar para o WPA3. Se você é um gerente de TI, arquiteto de rede ou diretor de operações de instalações que gerencia WiFi em uma rede de hotéis, varejo, estádios ou campus do setor público, este informativo é para você. Você provavelmente já se deparou com a sopa de letrinhas: iPSK, DPSK, MPSK, PPSK. Todas se referem ao mesmo conceito - fornecer a cada dispositivo ou usuário sua própria senha exclusiva em um único SSID - mas as implementações diferem significativamente, e essas diferenças importam quando você planeja sua próxima atualização de infraestrutura. Vamos começar com os fundamentos, depois passar por cada fabricante e terminar com a questão do WPA3 com a qual todos estão lidando neste momento. Análise Técnica Detalhada. Então, o que é o PSK por dispositivo e por que ele existe? O WPA2-Personal tradicional usa uma única senha compartilhada para um SSID inteiro. Todos na sua rede de convidados usam a mesma senha. Isso cria dois problemas. Primeiro, você não pode revogar o acesso de um dispositivo sem alterar a senha de todos. Segundo, você não tem visibilidade por dispositivo ou aplicação de políticas. O PSK por dispositivo resolve ambos. Cada dispositivo ou usuário recebe uma credencial exclusiva. Você pode revogar uma sem afetar as outras. Você pode atribuir diferentes VLANs, políticas de largura de banda ou cronogramas de acesso por chave. É o meio-termo entre a simplicidade do WPA2-Personal e a complexidade da autenticação corporativa completa do 802.1X. Agora vamos ver como cada fabricante implementa isso. A Cisco Meraki chama isso de iPSK - Identity Pre-Shared Key. A Meraki suporta dois modos. Sem RADIUS, você configura até cinco PSKs exclusivas diretamente no painel da Meraki, cada uma mapeada para uma VLAN. É rápido de configurar e não requer infraestrutura externa. Com RADIUS - normalmente o Cisco ISE - você pode escalar para milhares de chaves. O cliente se associa, o AP envia o endereço MAC e uma dica de PSK para o servidor RADIUS, o servidor retorna a chave correta por dispositivo e o handshake padrão de quatro vias do WPA2 é concluído usando essa chave como a Pairwise Master Key. O ponto crucial aqui é que o servidor RADIUS faz a busca, não o AP. O AP apenas facilita a troca. A HPE Aruba chama isso de MPSK - Multiple Pre-Shared Key. O Aruba Central e o Aruba Instant suportam MPSK em dois modos: MPSK Local, onde as chaves são armazenadas no controlador ou cluster de AP, e MPSK com ClearPass, o RADIUS e mecanismo de políticas da Aruba. O ClearPass pode conter dezenas de milhares de chaves, atribuir VLANs dinâmicas e aplicar políticas baseadas em funções por chave. O fluxo de autenticação é essencialmente o mesmo do modo RADIUS da Meraki - a busca baseada em MAC retorna a chave por dispositivo antes do handshake de quatro vias. A Ruckus - agora parte da CommScope - chama isso de DPSK, Dynamic Pre-Shared Key. Esta é indiscutivelmente a implementação mais madura do mercado. O Ruckus DPSK está disponível desde os primeiros dias do SmartZone. No modo local, o serviço DPSK é executado no controlador e mantém o banco de dados de chaves. No modo RADIUS, ele se integra ao Cloudpath, a própria plataforma de controle de acesso à rede da Ruckus. O que torna a Ruckus notável é o DPSK3 - sua extensão WPA3 do DPSK, sobre a qual falaremos em breve. O DPSK3 está disponível em pontos de acesso Wi-Fi 6, 6E e 7 executando o firmware 7.0 ou posterior, e opera no modo misto WPA2 barra WPA3. A Juniper Mist chama isso de PPSK - Private Pre-Shared Key - ou às vezes Multi-PSK. A Mist armazena chaves na nuvem, na organização Mist ou no banco de dados de chaves do site, com um limite de 5.000 chaves por site. As chaves podem ser atribuídas por usuário, por dispositivo ou por grupo. A Mist também se integra ao seu serviço Access Assurance - o NAC nativo da nuvem - que adiciona busca de PSK baseada em RADIUS. Criticamente, a Juniper anunciou o suporte a WPA3 RADIUS PSK por meio do Access Assurance, permitindo que um único SSID WPA3-Personal atenda a várias senhas. Esta é uma das implementações mais inovadoras do mercado. A Extreme Networks - que adquiriu a Aerohive - chama isso de PPSK, Private Pre-Shared Key, por meio do ExtremeCloud IQ. A implementação da Extreme suporta o armazenamento local de chaves no próprio AP, o que é útil para filiais ou locais remotos com conectividade limitada. Também suporta busca baseada em RADIUS através do serviço RADIUS em nuvem do ExtremeCloud IQ. A vinculação de MAC está disponível, o que associa um PPSK a um endereço MAC de dispositivo específico para segurança adicional. A Fortinet chama isso de MPSK, Multiple Pre-Shared Key, gerenciado através do FortiAP e do controlador wireless FortiGate. A implementação da Fortinet é notável porque suporta explicitamente os modos de segurança WPA3-SAE e WPA3-SAE Transition em seus perfis MPSK - a partir do firmware FortiAP 8.0. Você pode criar um perfil MPSK com chaves WPA3-SAE, atribuí-las a um VAP e habilitar a atribuição dinâmica de VLAN por chave. Esta é uma das implementações de WPA3 MPSK mais limpas disponíveis hoje. A Ubiquiti UniFi chama isso de Private Pre-Shared Keys, ou Private PSK. A implementação da UniFi é apenas local — as chaves são armazenadas no controlador da UniFi Network, não em um servidor RADIUS externo. Você pode atribuir diferentes VLANs por chave e definir limites de clientes por chave. A limitação significativa: até meados de 2026, o Private PSK da UniFi funciona apenas em redes WPA2 em 2,4 GHz e 5 GHz. WPA3 e 6 GHz não são suportados. Para implantações menores isso é perfeitamente aceitável, mas é uma restrição que vale a pena conhecer antes de se comprometer com uma infraestrutura UniFi em escala. Agora, a questão do WPA3. É aqui que as coisas ficam tecnicamente interessantes. O WPA2-Personal utiliza um handshake de quatro vias. O cliente e o AP derivam uma Pairwise Transient Key a partir de uma Pairwise Master Key compartilhada, que por sua vez é derivada da senha. Como a derivação da PMK ocorre após a consulta ao RADIUS, o AP pode substituir uma chave por dispositivo nesse ponto. O padrão não se importa — ele apenas vê uma PMK válida. O WPA3-Personal substitui o handshake de quatro vias pelo SAE — Simultaneous Authentication of Equals. O SAE é um protocolo baseado em Diffie-Hellman. Ambas as partes se comprometem com um elemento de senha compartilhado derivado da senha antes que a associação seja concluída. A diferença crítica: a senha deve ser conhecida por ambas as partes antes que a troca do SAE comece. Não há nenhum ponto no protocolo onde um servidor RADIUS possa injetar uma chave diferente por dispositivo. O AP e o cliente já estão realizando uma dança criptográfica com um único valor compartilhado. É por isso que o WPA3 atualmente permite apenas uma chave por SSID em sua forma padrão. Não é uma limitação de firmware. É uma restrição do protocolo. As soluções alternativas dividem-se em três categorias. Primeira, o modo de transição WPA3 — também chamado de modo misto WPA2 barra WPA3. O SSID anuncia tanto o WPA2-PSK quanto o WPA3-SAE. Os clientes WPA2 usam o handshake de quatro vias e podem receber chaves por dispositivo via RADIUS. Os clientes WPA3 usam o SAE com uma única senha compartilhada. Esta é a abordagem mais amplamente implantada hoje e é suportada por Cisco Meraki, HPE Aruba, Ruckus e outros. Segunda, extensões proprietárias. O Ruckus DPSK3 é o exemplo mais claro. Ao rodar no modo misto WPA2 barra WPA3 com o Cloudpath como backend RADIUS, o DPSK3 permite que dispositivos compatíveis com WPA3 usem o SAE enquanto o sistema gerencia a associação de chaves por dispositivo através da integração com o Cloudpath. O WPA3 RADIUS PSK do Access Assurance da Juniper adota uma abordagem semelhante. O MPSK da Fortinet com o modo WPA3-SAE Transition permite misturar chaves WPA2-Personal e WPA3-SAE no mesmo perfil MPSK. Terceira, migrar para o 802.1X. Para endpoints gerenciados — laptops corporativos, dispositivos de funcionários, qualquer coisa na qual você possa instalar um certificado —, o WPA3-Enterprise com EAP-TLS é a resposta ideal. Ele é totalmente compatível com WPA3 e 6 GHz, fornece identidade por dispositivo e se integra com Microsoft Entra ID, Okta e Google Workspace. O contraponto é a complexidade de implantação e a necessidade de uma infraestrutura de certificados. Recomendações de Implantação e Armadilhas Comuns. Então, o que você deve realmente fazer? Se você gerencia uma rede hoteleira com um mix de dispositivos de hóspedes, sensores IoT e dispositivos de funcionários, a resposta pragmática em 2026 é um design híbrido de SSID. Mantenha um SSID WPA2-Personal com PSK por dispositivo para IoT legado e dispositivos de hóspedes. Execute um SSID WPA3-Enterprise para os dispositivos de funcionários que você controla. Use o modo de transição no seu SSID de hóspedes principal para suportar clientes WPA2 e WPA3 sem fragmentar a sua contagem de SSID. Se você usa Ruckus e possui hardware Wi-Fi 6 ou mais recente, vale a pena avaliar o DPSK3 no modo misto WPA2 barra WPA3 com Cloudpath. Ele oferece o que há de mais próximo do PSK nativo por dispositivo do WPA3 disponível hoje. Se você usa Fortinet, o perfil MPSK com transição WPA3-SAE é simples de configurar e oferece um caminho de migração limpo. Se você usa UniFi, seja explícito com as partes interessadas de que o Private PSK é apenas para WPA2. Para locais que implantam Wi-Fi 6E ou Wi-Fi 7 com rádios de 6 GHz, você precisará de uma estratégia de autenticação diferente para essa banda. O maior erro que vemos são as equipes presumindo que a ativação do WPA3 em um SSID existente com PSK por dispositivo simplesmente funcionará. Não funcionará. Teste em um site piloto primeiro. Verifique as versões de firmware do seu AP — o DPSK3 requer o firmware 7.0 ou posterior na Ruckus, por exemplo. E verifique a compatibilidade do seu servidor RADIUS — o Ruckus DPSK3 em modo misto requer especificamente o Cloudpath, e não um servidor RADIUS genérico. Um segundo erro é a proliferação descontrolada de chaves. O PSK por dispositivo é excelente para prestação de contas, mas apenas se você tiver um processo para revogar chaves quando os dispositivos forem desativados. Sem gerenciamento de ciclo de vida, você acaba com milhares de chaves órfãs e sem rastreabilidade de auditoria. Integre o provisionamento de chaves ao seu fluxo de trabalho de gerenciamento de dispositivos desde o primeiro dia. Perguntas e Respostas Rápidas. Posso usar PSK por dispositivo em um SSID de 6 GHz? Não. O 6 GHz exige obrigatoriamente apenas WPA3, e o WPA3 não suporta nativamente PSK por dispositivo. Use 802.1X ou um SSID separado de 2.4 barra 5 GHz para dispositivos que precisam de PSK por dispositivo. O PSK por dispositivo atende aos requisitos do PCI DSS? O PSK por dispositivo no WPA2 pode atender aos requisitos de segmentação de rede do PCI DSS 4.0 se cada chave for mapeada para uma VLAN isolada. Mas o PCI DSS recomenda fortemente o 802.1X para ambientes de dados de portadores de cartão. Consulte seu QSA. Qual é o número máximo de chaves por SSID? Varia significativamente. O Cisco Meraki com ISE suporta implantações muito grandes. O Ruckus DPSK suporta dezenas de milhares de chaves. O Juniper Mist limita-se a 5.000 por site. O UniFi é efetivamente limitado pela memória do controlador. Sempre verifique a documentação do fornecedor para a sua versão específica de firmware. Como o Purple se encaixa nisso? O Purple atua como uma sobreposição de nuvem (cloud overlay) sobre o seu hardware existente. Nós nos integramos com Cisco Meraki, HPE Aruba, Ruckus, Juniper Mist, Ubiquiti UniFi, Cambium, Extreme e Fortinet. Para implantações de Guest WiFi e Staff WiFi, o Purple gerencia a camada de identidade — autenticação, captura de dados, gestão de consentimento — e retorna a atribuição de VLAN ou política apropriada para o seu hardware via RADIUS ou API. Você mantém sua infraestrutura de PSK por dispositivo existente; o Purple adiciona a camada de identidade e analytics por cima. Resumo e Próximos Passos. Vamos consolidar essas informações. O PSK por dispositivo — seja chamado de iPSK, DPSK, MPSK ou PPSK — é um recurso maduro e bem suportado por todos os principais fornecedores de WiFi corporativo. As implementações diferem em onde as chaves são armazenadas, como escalam e como se integram ao RADIUS. O protocolo SAE do WPA3 cria uma limitação técnica real para o PSK por dispositivo. O padrão não o suporta nativamente. As respostas práticas hoje são o modo de transição, extensões proprietárias como o DPSK3 ou a migração para o 802.1X para dispositivos que o suportam. O resumo por fornecedor: O Cisco Meraki iPSK funciona bem com o ISE no modo RADIUS; o suporte ao WPA3 ocorre via modo de transição. O HPE Aruba MPSK com ClearPass é altamente escalável; o WPA3 MPSK está em desenvolvimento ativo. O Ruckus DPSK3 é a solução de PSK por dispositivo WPA3 mais madura disponível. O Juniper Mist Access Assurance adiciona o WPA3 RADIUS PSK. A Fortinet oferece suporte explícito ao WPA3-SAE em seus perfis MPSK. O Extreme PPSK é robusto para modos local e RADIUS. O UniFi Private PSK é apenas WPA2 e apenas local. Para os seus próximos passos: faça uma auditoria na sua implantação atual de PSK por dispositivo, identifique quais dispositivos são compatíveis com WPA3 e projete uma estratégia de SSID híbrida que atenda a ambos. Se estiver planejando uma atualização de hardware, priorize APs Wi-Fi 6 ou Wi-Fi 7 com suporte confirmado para DPSK3 ou WPA3 MPSK. Se quiser entender como o Purple se integra ao seu fornecedor de hardware específico para adicionar gestão de identidade e analytics à sua implantação de PSK por dispositivo, visite purple.ai ou fale com sua equipe de contas. Isso é tudo para este resumo. Obrigado por ouvir.