A maioria das organizações não começa com uma estratégia deliberada de segurança sem fios. Herdam-na. Um SSID de funcionários foi configurado há anos, alguém partilhou a palavra-passe na integração, a mesma chave acabou em telemóveis pessoais, tablets, impressoras, ecrãs de salas de reuniões e no portátil ocasional de um prestador de serviços, e agora ninguém lhe quer mexer porque mudá-la iria estragar tudo.
Essa configuração parece normal até fazer algumas perguntas diretas. Quem sabe atualmente a palavra-passe? Que dispositivos a estão a usar? O que acontece quando um funcionário sai em maus termos? Pode revogar um dispositivo sem alterar a chave de todo o local? Em muitos ambientes, a resposta a todas as quatro é alguma variação de “não de forma limpa”.
Essa é a lacuna no centro da segurança WiFi empresarial. O problema não é apenas a encriptação. É a identidade, o controlo e a capacidade de tomar decisões de acesso por utilizador, por dispositivo e por sessão. Uma rede sem fios moderna deve comportar-se menos como uma chave de porta de entrada partilhada e mais como um sistema de acesso com cartões de identificação nomeados, políticas, registos e revogação instantânea.
Indo Além da Palavra-passe Partilhada
A versão familiar é assim. O escritório tem uma rede “Funcionários” protegida por uma única palavra-passe. As TI dão-na aos novos colaboradores, as equipas de instalações usam-na para smart TVs e impressoras, e os prestadores de serviços de longo prazo mantêm-na nos seus próprios dispositivos porque é conveniente. Quando alguém sai, a palavra-passe geralmente permanece a mesma porque rodá-la significa mexer em cada dispositivo e em cada local.
Esse modelo sempre foi fraco. Agora é operacionalmente perigoso.
No Reino Unido, 50% das empresas sofreram uma violação ou ataque de segurança cibernética em 2024, subindo para 74% no caso das grandes empresas, de acordo com as orientações citadas no resumo das melhores práticas de segurança WiFi empresarial . O controlo de acesso sem fios situa-se diretamente dentro desse cenário de risco porque uma palavra-passe partilhada oferece quase nenhuma precisão. Pode deixar todos entrar ou bloquear a entrada de todos. Não há muito meio-termo.
Porque é que os segredos partilhados falham na prática
Uma palavra-passe partilhada cria quatro problemas recorrentes:
- Sem responsabilidade individual. Sabe que o SSID foi utilizado, mas não qual a pessoa ou dispositivo gerido que deveria ter tido acesso naquele momento.
- Processo de saída doloroso. Se uma pessoa ou dispositivo se tornar um risco, a solução limpa é mudar a palavra-passe de todos.
- Disseminação de palavras-passe. Os funcionários reutilizam-na, guardam-na em dispositivos não geridos e, por vezes, partilham-na informalmente.
- Confiança plana. Uma vez ligados, demasiados utilizadores e dispositivos acabam na mesma rede ampla.
Regra prática: se a remoção de um utilizador exigir uma alteração de palavra-passe em todo o local, o design sem fios já está atrás do perfil de risco da organização.
A transição para fora deste modelo não se trata apenas de tornar a rede mais difícil de invadir. Trata-se de substituir um segredo por uma identidade. É por isso que cada vez mais equipas estão a mudar para o acesso WiFi sem palavra-passe tanto para colaboradores como para convidados. O principal ganho não é a novidade. É o controlo. Pode aprovar um dispositivo, revogar um certificado, associar a política ao estado do diretório e deixar de tratar todos os utilizadores como se estivessem a partilhar a mesma chave para a mesma porta.
O aspeto de uma boa solução hoje em dia
Uma base mais forte começa com a autenticação individual para cada utilizador ou dispositivo. A partir daí, pode atribuir diferentes acessos para colaboradores, contratados, convidados e tecnologia operacional. Também pode deixar de fingir que uma impressora e um portátil das finanças pertencem ao mesmo nível de confiança pelo facto de se ligarem através do mesmo espaço aéreo.
Na prática, a segurança WiFi empresarial tornou-se um projeto de identidade tanto quanto um projeto de rádio. Os pontos de acesso continuam a ser importantes. O controlador continua a ser importante. Mas a principal diferença vem de mover a decisão de admissão de uma nota adesiva para uma política.
Compreender os Riscos de Segurança WiFi Atuais
O risco sem fios não é um problema único. É um conjunto de pontos de falha que se acumulam quando as organizações utilizam autenticação fraca, acesso amplo e visibilidade deficiente.

A superfície de ataque também é maior do que muitas equipas assumem. O Relatório Anual de Internet da Cisco projetou que até 2023 haveria 3,6 dispositivos em rede por pessoa no Reino Unido e 5,5 mil milhões de dispositivos em rede no total no país, uma escala destacada nesta discussão sobre as melhores práticas de controlo de acesso à rede . Isso importa porque cada dispositivo ligado ao WiFi é um potencial ponto de entrada, desconfiguração ou caminho de movimentação lateral.
As ameaças que surgem com mais frequência
Alguns ataques sem fios são diretos. Outros dependem de os utilizadores tomarem uma má decisão de ligação.
| Risco | Como funciona | Porque importa |
|---|---|---|
| Pontos de acesso nocivos | Alguém instala um AP não autorizado ou cria um SSID falso que parece legítimo | Os utilizadores ligam-se à rede errada e entregam o tráfego a um atacante |
| Roubo de credenciais | Os utilizadores inserem credenciais corporativas em portais fracos ou páginas de phishing | As credenciais roubadas podem desbloquear mais do que apenas o WiFi |
| Ataques Man-in-the-middle | Um atacante posiciona-se entre o cliente e o serviço | As sessões podem ser intercetadas, alteradas ou monitorizadas |
| Movimento lateral | Um dispositivo de extremidade comprometido alcança outros sistemas no mesmo segmento amplo | Um pequeno comprometimento transforma-se num incidente mais alargado |
| Postura fraca de IoT | Dispositivos com segurança deficiente ligam-se ao lado de sistemas empresariais | Os atacantes visam o dispositivo mais fácil, não o mais importante |
Um ataque de "gémeo malicioso" (evil twin) é um exemplo simples. Um atacante configura uma rede sem fios com um nome familiar perto das suas instalações. Os utilizadores ligam-se porque o SSID parece correto ou porque o seu dispositivo se liga automaticamente. Se o seu ambiente depender do julgamento do utilizador e de palavras-passe, essa rede falsa tem hipóteses de sucesso. Se o ambiente utilizar autenticação mútua forte baseada em certificados, esse ataque é muito mais difícil de concretizar porque o cliente também verifica o lado da rede na conversação.
Redes planas tornam os pequenos erros dispendiosos
Os danos ocorrem frequentemente após a ligação. Se os dispositivos dos funcionários, os dispositivos não geridos e os pontos de extremidade operacionais partilharem um acesso amplo à rede, um único ponto de apoio pode chegar muito mais longe do que deveria.
É por isso que a segurança WiFi tem de estar associada à segmentação e à aplicação de políticas, e não apenas à encriptação no ar. As equipas que trabalham numa abordagem mais ampla de gestão de ciberameaças para empresas geralmente descobrem que o WiFi não pode ficar de fora do modelo de risco principal. Faz parte da mesma estratégia de identidade, monitorização e contenção que o resto da rede.
Um SSID seguro que coloca todos os dispositivos autenticados no mesmo segmento sem restrições não está a fornecer uma segurança de WiFi empresarial significativa. Apenas está a adiar o problema para a etapa seguinte.
O Núcleo da Autenticação WiFi Moderna
A transição técnica é simples quando se removem as siglas. O WPA-Personal utiliza uma chave partilhada. O WPA2-Enterprise e o WPA3-Enterprise utilizam o 802.1X para autenticar cada utilizador ou dispositivo individualmente. Essa única alteração muda todo o modelo operacional.

Para as empresas do Reino Unido, a linha de base prática mais forte é o WPA2-Enterprise ou WPA3-Enterprise com 802.1X, porque autentica cada utilizador ou dispositivo individualmente e permite a revogação instantânea, conforme descrito nesta visão geral da segurança de redes WiFi empresariais .
Chave partilhada versus identificador nominativo
A analogia mais fácil é o acesso a um edifício.
Uma palavra-passe WiFi partilhada é uma chave copiada para todos no edifício. Se uma cópia se perder, terá de substituir todas as fechaduras ou aceitar o risco.
O 802.1X é um sistema de cartões de identificação. Cada pessoa ou dispositivo apresenta a sua própria identidade. A rede verifica essa identidade com um motor de política central, normalmente um serviço RADIUS, e depois decide o que permitir. Um cartão pode ser desativado sem alterar a experiência de todos os outros.
Essa é a razão prática pela qual as equipas empresariais o adotam. Não porque a sigla pareça mais avançada, mas porque lhes dá um controlo operacional que podem realmente utilizar.
O que o 802.1X faz
No momento da ligação, o ponto de acesso não aceita automaticamente o cliente na rede. Atua como um ponto de aplicação e passa a conversação de autenticação para um backend de política. Esse processo permite-lhe decidir:
- Quem se está a ligar. Membro da equipa, prestador de serviços, dispositivo gerido, telemóvel BYOD, impressora.
- Como provaram a identidade. Nome de utilizador e palavra-passe, certificado ou outro método EAP aprovado.
- O que acontece a seguir. Atribuição de VLAN, aplicação de ACL, mapeamento de funções ou recusa.
A autenticação deixa de ser uma verificação de sim ou não face a uma única palavra-passe. Torna-se uma decisão de política associada à identidade e ao contexto.
Por que razão o WPA3 é importante
O WPA3-Enterprise eleva o nível de segurança e melhora a postura criptográfica da sessão sem fios. Nas decisões diárias de arquitetura, no entanto, é importante não tratar o WPA3 como uma solução mágica. Se implementar o WPA3 mas continuar a depender de um processamento de identidade fraco, de credenciais partilhadas em caminhos de contingência ou de uma segmentação deficiente, não resolveu o problema subjacente.
Uma abordagem sensata é simples:
- Mude primeiro para o modo enterprise. A autenticação individual altera o seu modelo de controlo imediatamente.
- Utilize o WPA3-Enterprise onde os clientes o suportem. Tenha em mente a interoperabilidade durante a migração.
- Trate o design da política como equivalente à segurança de rádio. A encriptação mais forte não resolverá a confiança excessiva.
Por que razão o EAP-TLS é o padrão de excelência
Entre os métodos de autenticação 802.1X, o EAP-TLS é aquele em que a maioria dos arquitetos confia para implementações de elevada garantia, porque substitui as palavras-passe por certificados.
Isso tem consequências reais:
- Resistência a phishing. Não existe uma palavra-passe WiFi para o utilizador introduzir numa página falsa.
- Sem problemas de reutilização de palavra-passe. O caminho de autenticação não depende de um segredo gerido por humanos.
- Revogação mais limpa. Pode revogar um certificado ou uma identidade de dispositivo sem alterar todo o parque informático.
- Autenticação mútua. O cliente pode verificar o lado do servidor, o que ajuda contra ataques de infraestrutura falsa.
Princípio de design: se um utilizador puder ser induzido a digitar uma credencial de WiFi, o caminho de início de sessão sem fios continua a fazer parte da sua exposição a phishing.
A implementação de certificados dá trabalho. Precisa de gestão do ciclo de vida, fluxos de inscrição, decisões de PKI e suporte para tipos de dispositivos mistos. Mas uma vez implementado, a segurança de WiFi empresarial torna-se muito mais previsível. Deixa de esperar que os utilizadores protejam uma palavra-passe. Passa a impor a identidade através de credenciais geridas que se enquadram num modelo zero-trust.
Adotar o Acesso Sem Palavra-passe e Federado
Os ambientes sem fios mais fortes costumam parecer mais fáceis de usar, e não mais difíceis. Isso surpreende as equipas que ainda associam a segurança a mais solicitações, mais palavras-passe e mais fricção na integração.
Na prática, o acesso sem palavra-passe e federado melhora tanto o controlo como a experiência do utilizador. Os colaboradores deixam de tratar o WiFi como uma ilha de início de sessão separada. Os convidados deixam de lidar com fluxos de portal complexos que quebram a confiança antes de chegarem à internet.
O acesso do pessoal deve seguir a identidade corporativa
Para os colaboradores, o WiFi não deve exigir um repositório de credenciais separado se a empresa já utiliza um fornecedor de identidade como o Entra ID, Okta ou Google Workspace. A rede sem fios deve consumir a mesma fonte de identidade que orienta a inscrição de dispositivos, o acesso a aplicações e o desatendimento.
Isso proporciona-lhe um modelo operacional mais limpo:
- Novas contratações obtêm acesso através dos fluxos de trabalho de identidade existentes.
- Mudanças de funções herdam novos acessos com base em alterações de cargo.
- Saídas de colaboradores perdem o acesso quando o estado no diretório é alterado.
- BYOD pode ser gerido com uma integração controlada em vez de uma confiança cega.
O SSO é importante aqui porque reduz o número de sistemas autónomos que ficam dessincronizados. O valor operacional desta abordagem é bem explicado nesta análise sobre os benefícios do single sign-on . O ponto-chave para as redes sem fios é simples. Quanto menos vezes os utilizadores manusearem segredos manualmente, menos oportunidades terão de os verter, reutilizar ou digitar incorretamente.
A ausência de palavra-passe é um controlo de segurança, não apenas uma funcionalidade de conveniência
Quando as equipas ouvem falar de "WiFi sem palavra-passe", por vezes pensam primeiro na conveniência. A razão mais forte é a redução da exposição. Remover as palavras-passe do caminho sem fios elimina uma grande categoria de chamadas de suporte e uma grande categoria de riscos evitáveis.
Um design sem palavra-passe (passwordless) inclui frequentemente:
- Onboarding baseado em certificados para dispositivos de colaboradores geridos.
- Política integrada com o diretório para que o acesso acompanhe o estado da identidade.
- Reconexão silenciosa após a primeira adesão, garantindo uma experiência de utilizador sem interrupções.
- Revogação imediata quando um dispositivo ou utilizador já não deve ser considerado fidedigno.
Este é também o momento em que as escolhas de plataforma importam. Algumas organizações constroem em torno da sua infraestrutura NAC existente e ferramentas de identidade na nuvem. Outras utilizam serviços de rede baseados em identidade gerida. Por exemplo, a Purple suporta WiFi de colaboradores com 802.1X, onboarding baseado em certificados e integrações SSO com Entra ID, Google Workspace e Okta. A questão de design relevante não é a preferência de marca. É se a plataforma se adequa à sua arquitetura de identidade, modelo de revogação e capacidade de suporte.
O acesso de convidados e visitantes pode ser seguro sem ser complexo
O WiFi de convidados fica frequentemente aquém da segurança dos colaboradores porque as equipas assumem que existe um compromisso entre simplicidade e proteção. Não tem de ser assim.
O acesso moderno de convidados pode utilizar tecnologias como Passpoint e OpenRoaming para criar ligações encriptadas e automáticas sem depender de uma palavra-passe partilhada ou de um ritual repetitivo de página de portal (splash page). A experiência do utilizador melhora porque o dispositivo reconhece uma estrutura de acesso fidedigna. A segurança melhora porque a ligação começa com um comportamento de identidade e encriptação mais forte do que um SSID aberto ou um Captive Portal básico.
Os utilizadores não se opõem ao WiFi seguro. Opõem-se ao WiFi que é simultaneamente inseguro e inconveniente.
Esse é o objetivo prático. Um modelo de identidade para colaboradores, um caminho controlado para BYOD e um acesso de convidados que não ensine as pessoas a clicar em páginas de portal vagas e a confiar em qualquer rede que apareça primeiro.
Conceber uma Arquitetura Sem Fios Zero Trust
Zero Trust em WiFi significa uma coisa acima de tudo: ligação não é igual a confiança. O facto de um dispositivo estar ao alcance do sinal de rádio, conhecer um SSID ou ter passado um passo de autenticação básico não deve conceder acesso amplo a recursos internos.

Um design wireless de zero-trust viável começa com a identidade e termina com a contenção. Trata-se menos de comprar um produto rotulado como "zero trust" e mais de garantir que cada decisão de acesso seja restrita, explícita e reversível. O enquadramento mais amplo no zero trust network access alinha-se bem com o wireless porque o WiFi é um dos locais mais fáceis para as organizações confiarem excessivamente por predefinição.
Comece com políticas, não com SSIDs
Um erro comum é criar um grande número de SSIDs para representar diferentes grupos. Isso parece organizado, mas muitas vezes torna-se caótico rapidamente. Um padrão melhor consiste em menos SSIDs, autenticação mais forte e atribuição baseada em políticas nos bastidores.
Por exemplo, o mesmo SSID corporativo pode posicionar os utilizadores de forma diferente com base na identidade e no estado do dispositivo:
| Identidade ou tipo de dispositivo | Tratamento típico |
|---|---|
| Portátil pessoal gerido | Segmento corporativo com acesso baseado em funções |
| Dispositivo de prestador de serviços | Segmento restrito apenas para ferramentas específicas |
| Dispositivo móvel de executivo | Acesso gerido com controlos de política mais rigorosos |
| Impressora ou scanner | Segmento operacional isolado com acesso este - oeste restrito |
| Telemóvel de convidado | Acesso exclusivo à Internet, separado dos sistemas internos |
A atribuição dinâmica de VLAN e as políticas baseadas em funções tornam-se particularmente úteis. A rede não quer saber em que escritório a pessoa entrou. Avalia quem é, que dispositivo está a utilizar e que acesso deve obter.
Aplique o privilégio mínimo desde o primeiro pacote
O privilégio mínimo no wireless não é um princípio abstrato. É uma sequência de decisões concretas:
- Autenticar a identidade com 802.1X ou uma alternativa aprovada.
- Classificar o endpoint como gerido, não gerido, convidado ou operacional.
- Atribuir a função de rede com base nos atributos do diretório e na política.
- Restringir o movimento este - oeste para que um endpoint não possa navegar livremente pelo resto da infraestrutura.
- Monitorizar o comportamento da sessão para detetar anomalias e revogar rapidamente, se necessário.
Este design limita o raio de ação de um ataque. Se um dispositivo for comprometido, o atacante não herda automaticamente uma visibilidade interna alargada.
Evite o falso conforto do "interno"
Muitas violações de segurança ganham maior dimensão porque a rede trata qualquer elemento que tenha acedido à WLAN interna como confiável. Essa premissa é difícil de justificar atualmente. Os portáteis corporativos são alvo de phishing. Os dispositivos móveis são perdidos. O hardware IoT é fornecido com predefinições fracas. Os prestadores de serviços ligam-se a partir de ambientes mistos.
“WiFi interno” não é uma fronteira de segurança. É apenas um meio de transporte até que as políticas decidam o contrário.
Uma segurança forte de WiFi empresarial trata todas as sessões sem fios como não confiáveis até que sejam comprovadas e limitadas. É isso que transforma o zero trust de uma frase de apresentação de slides num design operacional.
Lidar com Dispositivos Antigos e IoT de Forma Segura
Todos os designs de rede sem fios limpos acabam por se deparar com a mesma objeção. “Isso parece ótimo para portáteis e telemóveis, mas e os dispositivos que não suportam 802.1X?” É uma pergunta justa. Impressoras, scanners, dispositivos médicos, sistemas de edifícios, câmaras e hardware especializado mais antigo muitas vezes não conseguem executar suplicantes modernos corretamente.
A resposta errada é criar um SSID alternativo com uma palavra-passe WPA2-Personal partilhada e chamar-lhe “rede IoT”. Isso desfaz grande parte do modelo de segurança que acabou de construir. A palavra-passe espalha-se. Ninguém sabe qual o dispositivo que a está a utilizar. Revogar um único endpoint torna-se doloroso novamente.
Por que um SSID alternativo partilhado é um mau compromisso
Uma única palavra-passe para dispositivos antigos cria os mesmos problemas discutidos anteriormente, mas com ainda menos visibilidade. Muitos destes endpoints não são geridos ou são geridos de forma ligeira. Alguns são difíceis de atualizar. Alguns são instalados e esquecidos.
Isso torna uma rede de chave partilhada perigosa por três razões:
- A atribuição é fraca. Sabe que um dispositivo se ligou, mas não se é o dispositivo aprovado que pretendia.
- A rotação é disruptiva. Alterar a chave pode significar visitar os dispositivos um a um.
- A segmentação torna-se descuidada. As equipas costumam colocar os dispositivos antigos todos juntos e esperar que as regras de firewall sejam suficientes.
Utilize credenciais por dispositivo onde o 802.1X completo não for possível
Um melhor compromisso é o iPSK ou PPSK. Fornecedores diferentes chamam-lhe coisas diferentes, mas o princípio é o mesmo. Cada dispositivo recebe a sua própria chave pré-partilhada exclusiva, mesmo que o SSID seja partilhado.
Isso oferece-lhe um controlo prático sem exigir um suplicante 802.1X completo:
- Um dispositivo, uma chave. Se uma impressora for substituída ou uma câmara for comprometida, revoga apenas essa chave.
- Melhor mapeamento de políticas. Pode associar uma chave específica a uma VLAN, função ou política de rede restrita.
- Visibilidade melhorada. As equipas de suporte conseguem identificar qual o endpoint que deve estar na rede.
Isto não equivale ao EAP-TLS baseado em certificados. É uma estratégia prática de contenção para hardware que não consegue fazer melhor.
Trate a IoT como uma classe de risco, não como uma classe de conveniência
A mentalidade de design é importante. Os dispositivos antigos e IoT não devem ser “as coisas que vão para a rede fácil”. Devem ser tratados como uma categoria de risco distinta, com caminhos de comunicação estritamente definidos.
Um padrão sensato é isolá-los das redes de utilizadores, permitir apenas os protocolos e destinos de que necessitam e documentar a propriedade de forma clara. Se nenhuma equipa for responsável pelo ciclo de vida do dispositivo, a política sem fios por si só não o salvará. Mas se combinar credenciais por dispositivo com uma segmentação rigorosa, pode evitar que as exceções herdadas fragilizem o resto da arquitetura sem fios.
Monitorização de Conformidade e Resposta a Incidentes
Uma implementação segura não termina quando os utilizadores se ligam com sucesso. O dia a dia das operações importa mais do que o dia da implementação. Se não conseguir ver quem se autenticou, que método utilizou, que função recebeu e o que mudou antes de um incidente, o seu ambiente sem fios será difícil de defender e ainda mais difícil de investigar.
O que monitorizar todos os dias
No mínimo, as equipas de segurança e de rede devem acompanhar estes pontos de dados nos seus registos sem fios e de RADIUS:
- Falhas de autenticação que possam indicar tentativas de força bruta, problemas de certificados ou clientes mal configurados
- Problemas repetidos de onboarding que frequentemente revelam políticas incorretas ou tipos de dispositivos não suportados
- Alterações inesperadas de função, tais como um dispositivo que vai parar ao segmento errado
- Novos padrões de endpoints que sugerem dispositivos não autorizados ou crescimento não gerido
- Alertas de AP não autorizados e de spoofing de SSID a partir de ferramentas de monitorização sem fios
Estes registos também apoiam o trabalho de conformidade. O UK GDPR e a Lei de Proteção de Dados de 2018 exigem medidas técnicas e organizacionais adequadas para proteger os dados pessoais. Numa rede sem fios, essa expectativa traduz-se num controlo de acessos forte, numa segregação sensata e em pontos de decisão auditáveis. O WiFi baseado em identidade ajuda porque lhe fornece eventos de acesso identificados em vez de uma utilização anónima de um segredo partilhado.
Ambientes de alta segurança exigem escolhas mais rigorosas
Para ambientes que necessitam de maior segurança, tais como o governo ou a defesa, o modo WPA3-Enterprise de 192 bits é a opção mais forte disponível aqui descrita, e continua a depender de 802.1X e EAP-TLS para verificações de identidade por sessão, conforme resumido neste guia para segurança WiFi . Isso não elimina a necessidade de monitorização. Apenas aumenta a expectativa de que a política, a higiene dos certificados e a gestão de incidentes sejam igualmente disciplinadas.
Construa um plano de resposta a incidentes sem fios
Quando há suspeita de um incidente sem fios, a rapidez importa mais do que a perfeição. A primeira resposta deve ser estruturada:
- Identificar o âmbito. Qual o SSID, local, identidades e dispositivos envolvidos?
- Conter o acesso. Revogar certificados, desativar contas ou colocar em quarentena a função afetada.
- Preservar registos. Manter os registos de autenticação, eventos do controlador e alterações de identidade associadas.
- Verifique o movimento lateral. Confirme se o dispositivo alcançou sistemas além do segmento pretendido.
- Remedie e reforce. Corrija a falha de política, a configuração incorreta ou a fraqueza de registo que tornou o incidente possível.
Os melhores planos de resposta a incidentes wireless não começam com capturas de pacotes. Começam por saber exatamente qual a identidade que se ligou, que política foi aplicada e como revogá-la imediatamente.
A sua Lista de Verificação de Segurança de WiFi Empresarial
Um bom programa de segurança wireless não começa com a substituição de todos os pontos de acesso. Começa com a substituição de suposições de confiança fracas. Utilize esta lista de verificação para auditar a situação do seu ambiente e decidir o que alterar primeiro.

Audite o estado atual
- Encontre segredos partilhados. Liste todos os SSID que ainda utilizam uma palavra-passe comum e identifique quem a conhece.
- Mapeie as classes de dispositivos. Separe os dispositivos de funcionários, convidados, BYOD, prestadores de serviços, IoT e operacionais.
- Reveja os limites de confiança. Verifique se está a ser concedido algum acesso interno amplo apenas porque um dispositivo se ligou ao WiFi.
Priorize as alterações de controlo
- Mova os funcionários para 802.1X. Comece com dispositivos geridos e torne a autenticação individual o padrão.
- Prefira o acesso baseado em certificados. Utilize EAP-TLS onde o ciclo de vida do dispositivo e os processos de PKI o possam suportar.
- Ligue o WiFi a sistemas de identidade. A saída de funcionários e as alterações de funções devem afetar o acesso à rede automaticamente.
- Utilize a segmentação de forma agressiva. Coloque utilizadores e dispositivos em funções, não apenas em SSIDs.
- Trate as exceções adequadamente. Utilize chaves por dispositivo para hardware legado em vez de uma palavra-passe de recurso partilhada.
Reforce as operações
- Monitorize eventos de autenticação. Falhas de início de sessão, padrões de dispositivos estranhos e atribuições de funções incorretas devem ser visíveis.
- Procure infraestruturas não autorizadas. Fique atento a APs não autorizados e nomes de rede falsificados.
- Teste a revogação. Prove que consegue remover um utilizador ou um dispositivo instantaneamente sem perturbar todos os outros.
- Documente a propriedade. Cada classe de dispositivo deve ter um proprietário de negócio e um proprietário de política.
A segurança do WiFi empresarial melhora rapidamente quando a identidade, a segmentação e a monitorização avançam juntas. Se corrigir apenas uma delas, as outras duas tornam-se normalmente o seu próximo ponto fraco.
Se está a modernizar o acesso sem fios e deseja uma abordagem de plataforma em vez de juntar várias ferramentas, a Purple é uma opção a avaliar. Foca-se em WiFi baseado em identidade para convidados, funcionários e ambientes multi-inquilino, incluindo acesso de convidados sem palavra-passe, integrações SSO e controlos para integração de dispositivos legados, o que o torna relevante para equipas que pretendem afastar-se de palavras-passe partilhadas em direção a um modelo sem fios de confiança zero.



