PPSK 12: comparando recursos e modelos de implantação

Bem-vindo ao briefing técnico da Purple. Hoje abordaremos o PPSK 12 - que é a Private Pre-Shared Key com comprimento mínimo de chave de 12 caracteres - comparando seus recursos e modelos de implantação para incorporadores imobiliários, proprietários e operadores de build-to-rent. Vamos começar pelo contexto. Se você gerencia um edifício residencial com 50, 100 ou 300 unidades, você tem um problema de WiFi que nem uma senha compartilhada nem uma implantação corporativa completa do 802.1X resolvem de forma simples. Uma senha compartilhada significa que todos os moradores estão na mesma rede. Uma pessoa se muda, você altera a senha e interrompe a configuração de casa inteligente de todos os outros moradores. O 802.1X completo é o padrão de excelência para dispositivos gerenciados corporativos, mas exige uma infraestrutura de chave pública, gerenciamento de certificados e configuração de suplicante em cada dispositivo. Os Chromecasts, alto-falantes inteligentes e consoles de jogos dos seus moradores simplesmente não conseguem fazer isso. O PPSK fica exatamente entre esses dois extremos. Cada morador recebe sua própria chave pré-compartilhada exclusiva - com no mínimo 12 caracteres, misturando maiúsculas, minúsculas, números e símbolos. Todos os moradores se conectam ao mesmo SSID. Do ponto de vista do morador, a experiência é exatamente como a de uma rede WiFi residencial. Do seu ponto de vista como operador, cada conexão é identificada individualmente, criptografada individualmente e revogável individualmente. Seção um: a arquitetura técnica. Quando um dispositivo se conecta a um SSID habilitado para PPSK, o controlador de rede local sem fio intercepta a tentativa de conexão e encaminha o endereço MAC do dispositivo para um servidor RADIUS. O RADIUS - Remote Authentication Dial-In User Service - é o motor de autenticação. O servidor RADIUS pesquisa esse endereço MAC em seu banco de dados de identidade e retorna uma resposta Access-Accept. Incorporada nessa resposta está a chave pré-compartilhada exclusiva para aquele morador, além de uma atribuição de VLAN. O controlador valida a chave apresentada pelo dispositivo em relação à chave retornada pelo servidor RADIUS. Se elas coincidirem, o dispositivo se autentica e entra no segmento de rede correto. O resultado é o que chamamos de bolha de WiFi por morador. Cada dispositivo na chave do morador A vê todos os outros dispositivos na chave do morador A. O telefone dele descobre o Chromecast. O alto-falante inteligente emparelha com as lâmpadas. O console encontra a TV. Nenhum dispositivo na chave do morador A vê qualquer dispositivo em uma chave diferente. Os dispositivos do morador B são invisíveis para o morador A, mesmo que estejam no mesmo ponto de acesso físico. Os principais fornecedores implementam isso de forma ligeiramente diferente. A Cisco Meraki chama de iPSK - Identity PSK. A HPE Aruba chama de MPSK - Multi-PSK. A Ruckus chama de DPSK - Dynamic PSK. O Juniper Mist usa PPSK. O princípio subjacente é idêntico em todos os quatro. Os detalhes de implantação diferem em como os atributos RADIUS são estruturados e quantas chaves exclusivas um único SSID pode suportar. Sobre o comprimento da chave: o mínimo de 12 caracteres não é arbitrário. As chaves WPA2-PSK são derivadas usando PBKDF2 com 4.096 iterações de HMAC-SHA1. Uma chave com menos de 12 caracteres é vulnerável a ataques de dicionário offline, especialmente com ferramentas modernas de quebra aceleradas por GPU. Com 12 caracteres e classes de caracteres mistas, o keyspace é grande o suficiente para tornar os ataques de força bruta computacionalmente inviáveis. Algumas plataformas, incluindo UniFi, aplicam esse limite mínimo na interface do usuário. Você deve aplicá-lo em sua política de geração de chaves, independentemente de a plataforma exigir ou não. Seção dois: modelos de implantação. Existem três arquiteturas de implantação para PPSK, e a escolha da correta depende do seu portfólio de propriedades e da capacidade da sua equipe. A primeira é o RADIUS na nuvem. Seus pontos de acesso se autenticam em um serviço RADIUS hospedado na nuvem, normalmente em várias zonas de disponibilidade. Essa é a escolha certa para portfólios multi-site - um operador de BTR com propriedades em várias cidades, por exemplo. O RADIUS na nuvem elimina o hardware por local, automatiza a rotação de certificados e escala de forma elástica. A plataforma da Purple oferece 99,999% de tempo de atividade em sua infraestrutura de autenticação. A desvantagem é a dependência da rede WAN: se a conexão de internet em um local cair, novos dispositivos não poderão se autenticar até que a conectividade seja restaurada. Mitigue isso com SD-WAN e cache local de credenciais no controlador. A segunda é o RADIUS on-premise. Um servidor RADIUS - normalmente Microsoft NPS ou FreeRADIUS - roda em hardware ou em uma máquina virtual na propriedade. Isso oferece latência de autenticação de sub-milissegundos, soberania total de dados e nenhuma dependência de rede WAN. É a escolha certa para uma única propriedade grande com requisitos rígidos de residência de dados ou para ambientes onde a conectividade com a internet não é confiável. O custo operacional é maior: sua equipe gerencia a aplicação de patches, rotação de certificados e integridade do servidor. A expiração do certificado é a causa mais comum de interrupções completas de autenticação em implantações locais. Crie a renovação automatizada de certificados em seu guia de execução desde o primeiro dia. A terceira é a híbrida. O RADIUS na nuvem lida com SSIDs de visitantes e IoT. O RADIUS on-premise lida com qualquer SSID corporativo ou de equipe que se autentique em um Active Directory interno. Este é um modelo pragmático para empreendimentos de uso misto - um edifício BTR com varejo no térreo ou espaço de coworking, por exemplo. A plataforma da Purple oferece suporte nativo a esse modelo híbrido, rodando em pontos de acesso Cisco Meraki, HPE Aruba, Ruckus, Juniper Mist, Ubiquiti UniFi, Cambium, Extreme Networks e Fortinet. Seção três: gerenciamento do ciclo de vida das chaves. A tecnologia é a parte mais fácil. O gerenciamento do ciclo de vida das chaves é o ponto onde as implantações funcionam ou falham operacionalmente. No momento da mudança, uma chave exclusiva do residente é gerada e provisionada automaticamente - idealmente via integração de API com o seu sistema de gestão de propriedades. O residente recebe a chave por meio de um e-mail de boas-vindas ou do aplicativo do residente. Todos os seus dispositivos se conectam usando essa única chave. No momento da desocupação, a chave é revogada. Nenhum outro residente é afetado. Sem rotação de senhas. Sem chamados de suporte. No meio do contrato de locação, os residentes adicionam dispositivos. Um portal de autoatendimento ou aplicativo do residente que emite a chave existente do residente para um novo dispositivo - sem expor essa chave a outros residentes - é a abordagem correta. A plataforma da Purple oferece esse fluxo de trabalho de forma nativa. O risco operacional crítico é a randomização do endereço MAC. O iOS 14 e posterior, o Android 10 e posterior e o Windows 11 randomizam os endereços MAC por padrão por motivos de privacidade. Se um dispositivo apresentar um MAC randomizado, o seu servidor RADIUS não encontrará um registro correspondente e rejeitará a conexão. A solução é configurar o seu SSID para exigir que os clientes usem o endereço MAC permanente do dispositivo ou implementar um fluxo de trabalho de pré-registro. Isso precisa estar no seu plano de implantação desde o primeiro dia, e não ser descoberto durante a ativação. Seção quatro: WPA3 e a consideração de 6 GHz. Uma palavra sobre o WPA3, pois é aqui que vejo os operadores cometerem erros de planejamento. O PPSK, como implementado atualmente, depende do handshake de quatro vias do WPA2-PSK. O WPA3 introduz o SAE - Simultaneous Authentication of Equals - que altera o mecanismo de handshake. Atualmente, o SAE suporta apenas uma chave por SSID. Isso significa que um SSID puramente WPA3 não pode suportar várias chaves pré-compartilhadas exclusivas. Na banda de 6 GHz, introduzida com o WiFi 6E, o WPA3 é obrigatório. Você não pode executar o WPA2 de forma alguma na banda de 6 GHz. Portanto, se você estiver implantando pontos de acesso WiFi 6E ou WiFi 7 e quiser usar a banda de 6 GHz, o PPSK não está disponível lá hoje. A recomendação prática para implantações em 2025 e 2026 é uma estratégia de banda dupla. Execute o seu SSID PPSK em 2.4 GHz e 5 GHz no modo de transição WPA2 ou WPA2/WPA3. Use um SSID WPA3-Enterprise separado em 6 GHz para dispositivos gerenciados que o suportem. Isso oferece o isolamento por residente do PPSK para a ampla frota de dispositivos e a segurança aprimorada do WPA3 para dispositivos que podem usá-lo. Fabricantes como Cisco Meraki, HPE Aruba e Juniper Mist estão trabalhando ativamente em implementações PPSK compatíveis com WPA3. Seção cinco: conformidade e privacidade de dados. As implantações de PPSK em ambientes residenciais estão inseridas em um contexto de privacidade mais sensível do que o WiFi de visitantes. Os residentes têm um relacionamento contínuo com você, e a exposição de dados se estende por anos em vez de minutos. O isolamento de residentes é, por si só, um requisito de privacidade sob a GDPR. Você tem o dever de cuidado para evitar que um residente descubra ou interaja com os dispositivos de outro residente. O PPSK é o mecanismo técnico que entrega isso. A atribuição de VLAN por residente garante o isolamento de Camada 2 mesmo em uma infraestrutura física compartilhada. Os logs de autenticação devem ser retidos apenas pelo tempo necessário para segurança e operações. Seis meses é um limite comum para implantações residenciais. A Purple armazena dados em regiões selecionáveis, suportando os requisitos de residência de dados do Reino Unido, UE e EUA. Para operadoras de BTR com inquilinos de varejo ou de alimentos e bebidas no térreo, o PCI-DSS é relevante. O PPSK com atribuição de VLAN por inquilino permite demonstrar que os dispositivos de processamento de pagamentos estão em um segmento criptograficamente isolado, mesmo em uma infraestrutura física compartilhada. Essa é uma vantagem de conformidade significativa em relação a uma implantação de senha compartilhada. Seção seis: perguntas rápidas. Quantas chaves exclusivas um único SSID pode suportar? Isso depende do controlador. O Cisco Meraki suporta até 5.000 iPSKs por SSID sem RADIUS, e efetivamente ilimitado com RADIUS. O Ruckus DPSK suporta milhares por zona. Na prática, o fator limitante é a capacidade do banco de dados e o desempenho de consulta do seu servidor RADIUS, não o controlador sem fio. O PPSK funciona com dispositivos IoT? Sim. Dispositivos IoT - alto-falantes inteligentes, termostatos, sensores, fechaduras - conectam-se usando a chave do residente exatamente como qualquer outro dispositivo. Eles entram na VLAN do residente e podem descobrir outros dispositivos na mesma chave. Esse é o principal motivo pelo qual o PPSK é a arquitetura correta para implantações de BTR e MDU, onde 15 a 25 dispositivos por residência é agora a norma. Qual é o caso de negócios? Uma comodidade de WiFi gerenciada com isolamento por residente gera um prêmio de aluguel de £15 a £30 por unidade por mês em pesquisas de BTR da British Property Federation. Os períodos de inatividade reduzem de cinco a dez dias quando o WiFi de mudança está pronto no primeiro dia. O volume de chamados de suporte para problemas de Chromecast e casa inteligente cai para quase zero quando o PPSK é implantado corretamente. Resumo e próximos passos. O PPSK com um comprimento mínimo de chave de 12 caracteres é a arquitetura de autenticação WiFi correta para implantações de BTR, MDU, acomodação estudantil e habitação social. Ele oferece isolamento por residente, suporte completo a IoT e gerenciamento automatizado do ciclo de vida das chaves sem a sobrecarga de infraestrutura do 802.1X. Escolha o RADIUS em nuvem para portfólios multissite. Escolha o RADIUS local para propriedades grandes individuais com requisitos de soberania de dados. Use um modelo híbrido para desenvolvimentos de uso misto. Planeje a randomização de endereços MAC desde o primeiro dia. Construa uma estratégia dual band para implantações de WiFi 6E e WiFi 7 enquanto as implementações de PPSK compatíveis com WPA3 amadurecem. As três coisas a fazer neste trimestre: auditar seu modelo de autenticação atual em relação a esses critérios, avaliar sua infraestrutura RADIUS e definir seu fluxo de trabalho de gerenciamento de ciclo de vida de chaves, incluindo a integração com seu sistema de gestão de propriedades. A plataforma Multi-Tenant WiFi da Purple funciona nos pontos de acesso que você já possui, em 80.000 locais ativos, e oferece 99,999% de tempo de atividade em sua infraestrutura de autenticação. Obrigado por participar deste briefing técnico da Purple.