Passwordless WiFi: O Que É e Como Implementá-lo

Este guia de referência técnica fornece a arquitetos de rede e gestores de TI um plano abrangente para a transição de palavras-passe partilhadas vulneráveis para autenticação WiFi segura baseada em certificados. Abrange a arquitetura 802.1X, estratégias de implementação EAP-TLS, gestão de PKI e o impacto comercial mensurável da redução dos custos de suporte técnico, ao mesmo tempo que melhora a postura de segurança empresarial e a prontidão para a conformidade.

📖 8 min de leitura📝 1,800 palavras🔧 2 exemplos❓ 3 perguntas📚 8 termos-chave

🎧 Ouça este Guia

Ver Transcrição

[0:00 - 1:00] Introduction & Context
Hello, and welcome to this technical briefing from Purple. I'm your Senior Solutions Architect for today's session, and we're tackling a critical architectural shift for enterprise networks: the move to Passwordless WiFi.

If you're an IT director at a retail chain, managing a large hotel, or overseeing a public sector campus, you already know the pain of the Pre-Shared Key — the PSK. It's the single password that everyone shares. It's a security nightmare, it makes compliance audits like PCI DSS incredibly painful, and frankly, it's a massive drain on your helpdesk. Every time a staff member leaves, you technically should rotate that password. But you don't, because it breaks connectivity for every scanner, tablet, and laptop in the building. Today, we're discussing the solution: certificate-based, identity-aware WiFi authentication. It's secure, it's scalable, and it fundamentally changes the operational economics of managing wireless access. Let's dive into the architecture.

[1:00 - 6:00] Technical Deep-Dive
To understand passwordless WiFi, we need to look at the IEEE 802.1X standard. This isn't new technology, but the way we deploy it at scale has evolved significantly.

802.1X relies on three components. First, the Supplicant — that's the client device, your laptop or smartphone. Second, the Authenticator — typically your Wireless Access Point. And third, the Authentication Server — your RADIUS server, tied to an Identity Provider, or IdP, like Active Directory or Okta.

When we say 'passwordless' in an enterprise context, we are almost always talking about EAP-TLS — Extensible Authentication Protocol with Transport Layer Security. EAP-TLS is the gold standard because it mandates mutual authentication. The network proves it's legitimate to the device — preventing evil twin attacks — and the device proves its identity to the network using a unique digital certificate. No passwords are ever transmitted over the air.

The engine behind this is your Public Key Infrastructure, or PKI. This used to be a massive headache to set up on-premise. But today, cloud-managed PKI and RADIUS solutions have commoditised this infrastructure significantly.

The real magic happens in device onboarding. For your corporate assets — the laptops and managed tablets — you leverage your Mobile Device Management platform, like Intune or Jamf. The MDM uses a protocol called SCEP — Simple Certificate Enrollment Protocol — to silently request a certificate from the Certificate Authority and push it to the device. It's zero-touch for the user. They open their laptop, and it's securely connected. No password required. No helpdesk call needed.

For unmanaged devices — BYOD, or guests — we use onboarding portals. The user authenticates once against their corporate directory, or perhaps via a captive portal for guests, and a temporary certificate or a Passpoint profile is pushed to their device.

Speaking of Passpoint, or Hotspot 2.0, this is crucial for venues like stadiums, conference centres, or large retail environments. It allows devices to automatically discover and connect to authorised networks, much like cellular roaming. This is where platforms like Purple add immense value. Purple can act as the Identity Provider for services like OpenRoaming. A guest walks in, their device recognises the network, authenticates securely in the background using a certificate, and they are online. No captive portal every time they visit, but you still get the analytics and engagement capabilities on the back end.

Furthermore, 802.1X allows for dynamic VLAN assignment. The RADIUS server looks at the certificate, identifies the user's group, and tells the Access Point to place them on a specific VLAN. Your point-of-sale terminals are isolated from your corporate staff, who are isolated from the guest network. This is precisely how you achieve compliance and limit your blast radius in the event of a security incident.

[6:00 - 8:00] Implementation Recommendations & Pitfalls
When you're ready to deploy, take a phased approach.

First, audit your infrastructure. Ensure your Wireless LAN Controllers and Access Points support WPA3-Enterprise and 802.1X. Legacy hardware may require firmware updates or replacement.

Second, get your PKI and RADIUS sorted. I strongly recommend cloud-RADIUS for scalability and redundancy. On-premises RADIUS servers become single points of failure in distributed deployments.

Third, nail the onboarding experience. If it's hard for users to get their certificates, your helpdesk will be overwhelmed during the transition.

Now, what are the pitfalls? The biggest one is clock skew. EAP-TLS relies heavily on cryptography, which in turn relies on accurate time. If the time on your client device is out of sync with your RADIUS server, the certificate validation will fail — silently. The user just can't connect, and they don't know why. Ensure everything is syncing to a reliable NTP source.

Another common issue is certificate chain trust. If the client device doesn't have the root CA and any intermediate Certificate Authorities installed, it will reject the server's certificate. Always ensure your RADIUS server is configured to send the full certificate chain during the EAP exchange.

Finally, don't just turn off the old PSK network overnight. Run both SSIDs in parallel, but throttle the bandwidth on the legacy network to incentivise users to migrate to the secure SSID. Give yourself four to six weeks for the transition.

[8:00 - 9:00] Rapid-Fire Q&A
Question one: Is passwordless WiFi only for large enterprises? Not anymore. Cloud-managed RADIUS and PKI have made this accessible for mid-market organisations as well. The operational savings — in helpdesk reduction alone — often justify the investment within the first year.

Question two: What happens if a device is lost or stolen? This is the beauty of EAP-TLS. You don't change a password that affects every single user on the network. You simply revoke that specific device's certificate in your PKI. The RADIUS server checks the Certificate Revocation List, or uses OCSP — the Online Certificate Status Protocol — and immediately blocks that device from the network. Surgical, precise, and instant.

[9:00 - 10:00] Summary & Next Steps
To summarise, moving to passwordless WiFi via 802.1X and EAP-TLS is a strategic imperative for any organisation managing WiFi at scale. It eliminates the security vulnerabilities of shared passwords, it enables granular network segmentation for compliance with frameworks like PCI DSS and GDPR, and it drastically reduces helpdesk overhead.

For your next steps, I recommend conducting an infrastructure readiness assessment this quarter. Evaluate cloud-RADIUS providers, and look closely at how platforms like Purple can streamline the onboarding process — especially for guest and BYOD scenarios — turning what is fundamentally a security upgrade into a genuine business enablement tool.

Thank you for your time today. If you'd like to explore how Purple can support your passwordless WiFi deployment, visit purple dot ai.

Principais Conclusões

✓Passwordless WiFi replaces shared passwords (PSKs) with unique digital certificates per device, fundamentally improving enterprise network security.
✓The IEEE 802.1X standard with EAP-TLS provides mutual authentication — both the device and the network verify each other's identity cryptographically.
✓Eliminating shared passwords drastically reduces helpdesk tickets related to connectivity issues, password rotation, and credential compromise.
✓Deployment requires three core components: a RADIUS server, an Identity Provider (IdP), and a Public Key Infrastructure (PKI) for certificate lifecycle management.
✓Mobile Device Management (MDM) with SCEP enables zero-touch certificate provisioning for corporate assets, requiring no user interaction.
✓Passpoint (Hotspot 2.0) and platforms like Purple provide seamless, secure onboarding for guest and BYOD access, acting as an IdP for OpenRoaming.
✓Dynamic VLAN assignment via RADIUS enables granular network segmentation based on user identity, a key requirement for PCI DSS and GDPR compliance.

Resumo Executivo

A transição de Chaves Pré-Partilhadas (PSKs) partilhadas para autenticação WiFi sem palavra-passe, baseada em certificados, representa uma mudança arquitetónica crítica para redes empresariais. Para gestores de TI e arquitetos de rede a operar em grande escala — seja num hotel de 200 quartos, numa cadeia de retalho nacional ou num extenso campus do setor público — a abordagem legada de gerir uma única palavra-passe para todo o acesso de convidados ou BYOD já não é viável. Introduz vulnerabilidades de segurança inaceitáveis, complica a conformidade com frameworks como PCI DSS e GDPR, e gera um volume desproporcionado de tickets de suporte técnico relacionados com problemas de conectividade e rotação de palavras-passe.

O Passwordless WiFi, fundamentalmente construído sobre o padrão IEEE 802.1X e EAP-TLS (Extensible Authentication Protocol - Transport Layer Security), elimina estes pontos de atrito. Ao emitir certificados únicos e criptograficamente seguros para dispositivos individuais, os administradores de rede podem impor um controlo de acesso granular e consciente da identidade. Este guia fornece uma referência técnica abrangente para a implementação de Passwordless WiFi, detalhando a arquitetura subjacente, metodologias de implementação e o retorno sobre o investimento (ROI) mensurável alcançável através da redução dos custos operacionais e mitigação de riscos. Além disso, exploramos como a integração de uma plataforma como o Guest WiFi da Purple pode otimizar esta transição, atuando como um robusto Identity Provider (IdP) para facilitar um onboarding contínuo e seguro.

Análise Técnica Aprofundada: A Arquitetura do Passwordless WiFi

Para compreender a implementação do Passwordless WiFi, é necessário primeiro desconstruir os componentes centrais da framework de autenticação 802.1X. Ao contrário do WPA2-Personal, que depende de um segredo partilhado, o 802.1X opera num modelo tripartido: o Suplicante, o Autenticador e o Servidor de Autenticação.

O Modelo Tripartido 802.1X

O Suplicante é o dispositivo cliente — um smartphone, portátil ou sensor IoT — que tenta ligar-se à rede. Num ambiente sem palavra-passe, o suplicante deve possuir um certificado digital válido em vez de uma palavra-passe. O Autenticador é tipicamente o Ponto de Acesso Sem Fios (WAP) ou o controlador de LAN sem fios. Atua como um guardião, não avaliando as credenciais por si só, mas encapsulando o pedido do suplicante e encaminhando-o para o servidor de autenticação via protocolo RADIUS. O Servidor de Autenticação é a autoridade centralizada — frequentemente um servidor RADIUS integrado com um Identity Provider (IdP), como Active Directory, LDAP, ou um serviço de diretório nativo da cloud. O servidor valida o certificado apresentado pelo suplicante contra a sua base de dados e uma Lista de Revogação de Certificados (CRL).

EAP-TLS: O Padrão Ouro para Autenticação Sem Palavra-Passe

Embora o 802.1X suporte vários métodos de Extensible Authentication Protocol (EAP), o EAP-TLS é universalmente reconhecido como o padrão mais seguro para implementações empresariais. O EAP-TLS exige autenticação mútua: o servidor RADIUS apresenta o seu certificado ao suplicante, provando que a rede é legítima e prevenindo ataques de "evil twin"; e o suplicante apresenta o seu certificado de cliente único ao servidor RADIUS, provando a sua identidade sem transmitir quaisquer hashes de palavra-passe pelo ar. Este handshake criptográfico mútuo estabelece um túnel TLS seguro através do qual ocorrem a autorização final e a derivação de chaves, garantindo a máxima integridade e confidencialidade dos dados.

O Papel da Infraestrutura de Chave Pública (PKI)

A implementação de EAP-TLS requer uma robusta Infraestrutura de Chave Pública (PKI). A PKI é responsável por gerar, emitir e gerir o ciclo de vida dos certificados digitais. Historicamente, gerir uma Autoridade Certificadora (CA) local era uma barreira significativa à entrada. No entanto, as soluções PKI geridas na cloud e as integrações de Mobile Device Management (MDM) automatizaram o processo de aprovisionamento, permitindo que os certificados sejam enviados silenciosamente para dispositivos geridos através de protocolos como SCEP (Simple Certificate Enrollment Protocol) ou EST (Enrollment over Secure Transport).

Para dispositivos não geridos — BYOD ou acesso de convidados — as plataformas de onboarding fornecem um portal de autoatendimento onde os utilizadores se autenticam uma vez (por exemplo, via OAuth ou SAML contra um diretório corporativo, ou via um Captive Portal para convidados) e são subsequentemente aprovisionados com um certificado temporário ou um perfil seguro como Passpoint/Hotspot 2.0.

Guia de Implementação: Implementação Passo a Passo

A implementação de uma arquitetura de Passwordless WiFi requer planeamento cuidadoso e execução faseada. Os passos seguintes descrevem uma abordagem neutra em relação ao fornecedor, adequada para ambientes empresariais de grande escala, como os encontrados nos setores de Saúde ou Transporte .

Fase 1: Avaliação e Prontidão da Infraestrutura

Antes de alterar os métodos de autenticação, certifique-se de que a infraestrutura de rede subjacente suporta os protocolos necessários. Verifique se todos os Controladores de LAN Sem Fios e Pontos de Acesso suportam 802.1X e WPA3-Enterprise — hardware legado pode exigir atualizações de firmware ou substituição. Selecione uma solução RADIUS robusta capaz de lidar com a carga de autenticação esperada; as soluções RADIUS na cloud oferecem alta disponibilidade e escalabilidade em comparação com as implementações no local. Determine a principal fonte de verdade para as identidades dos utilizadores (por exemplo, Azure AD, Okta, Google Workspace) e confirme o servidor RADIUSr pode comunicar com este diretório.

Fase 2: Configuração de PKI e Gestão de Certificados

A base do acesso sem palavra-passe é a gestão do ciclo de vida dos certificados. Implemente uma Autoridade de Certificação (CA) fidedigna: para dispositivos corporativos internos, uma CA interna é suficiente; para acesso de convidados ou BYOD, considere uma CA pública ou um serviço de onboarding especializado. Defina políticas claras de validade de certificados — dispositivos corporativos podem receber certificados válidos por um ano, enquanto certificados de convidados podem expirar após 24 horas. Configure mecanismos de revogação, garantindo que o servidor RADIUS verifica as Listas de Revogação de Certificados (CRLs) ou utiliza OCSP para bloquear imediatamente o acesso a dispositivos perdidos ou comprometidos.

Fase 3: Onboarding e Provisionamento de Dispositivos

A experiência de onboarding dita o sucesso da implementação. Para dispositivos corporativos geridos, utilize uma solução MDM (por exemplo, Microsoft Intune, Jamf) para enviar silenciosamente o certificado da CA e o certificado de cliente único usando SCEP ou EST. Isto não requer interação do utilizador. Para dispositivos BYOD não geridos, implemente um portal de onboarding seguro onde os utilizadores se conectam a um SSID de provisionamento aberto, autenticam-se através de credenciais corporativas (SAML/OAuth) e descarregam um perfil de configuração que instala os certificados necessários e configura o SSID seguro. Para acesso de convidados em ambientes como Hotelaria ou Retalho , integre com uma plataforma como o WiFi Analytics da Purple. A Purple pode atuar como IdP, permitindo que os convidados se autentiquem via login social ou um portal personalizado, após o qual são transicionados de forma contínua para uma conexão segura e encriptada — frequentemente utilizando os padrões OpenRoaming ou Passpoint — sem nunca digitar uma palavra-passe de rede.

Fase 4: Configuração e Teste de Rede

Crie o novo SSID configurado para WPA3-Enterprise (ou WPA2-Enterprise se for necessário suporte legado) e autenticação 802.1X, apontando o autenticador para o servidor RADIUS. Configure o servidor RADIUS para retornar atributos específicos após uma autenticação bem-sucedida — por exemplo, atribuir o utilizador a uma VLAN específica com base na sua pertença a um grupo, colocando o pessoal numa VLAN corporativa e os convidados numa VLAN isolada apenas para internet. Implemente o SSID seguro primeiro num pequeno grupo piloto (o departamento de TI é geralmente ideal) e monitorize os registos de autenticação meticulosamente para identificar quaisquer erros de validação de certificados ou timeouts de RADIUS antes de uma implementação completa.

Melhores Práticas para Ambientes Empresariais

Imponha a Autenticação Mútua: Nunca implemente EAP-TLS sem exigir que o suplicante valide o certificado do servidor. Não o fazer expõe a rede a ataques Man-in-the-Middle (MitM).

Implemente Validação Rigorosa de Certificados: Configure os suplicantes para confiar explicitamente apenas na CA específica que emitiu o certificado do servidor RADIUS e verifique o Common Name (CN) ou Subject Alternative Name (SAN) do servidor.

Aproveite o Passpoint (Hotspot 2.0): Para locais públicos, o Passpoint é o futuro da conectividade sem palavra-passe. Permite que os dispositivos descubram e se conectem automaticamente a redes autorizadas usando credenciais fornecidas pelo seu operador móvel ou por um IdP de terceiros, funcionando de forma muito semelhante ao roaming celular. A licença Connect da Purple facilita isto, atuando como um fornecedor de identidade para serviços como o OpenRoaming.

Segmente o Tráfego: Utilize sempre a atribuição dinâmica de VLAN via RADIUS para separar logicamente diferentes classes de utilizadores (terminais POS, pessoal corporativo, dispositivos IoT, convidados). Isto limita o raio de impacto de qualquer potencial comprometimento. Para um aprofundamento na segmentação de redes especializadas, consulte o nosso guia sobre WiFi em Hospitais: Um Guia para Redes Clínicas Seguras .

Resolução de Problemas e Mitigação de Riscos

Mesmo com um planeamento meticuloso, podem surgir problemas. Compreender os modos de falha comuns é fundamental para uma resolução rápida.

Desvio de Relógio (Clock Skew) é a causa mais comum de falhas de autenticação EAP-TLS. A validação de certificados depende de uma sincronização de tempo precisa; se o tempo no suplicante, servidor RADIUS ou CA estiver dessincronizado por mais de alguns minutos, a validação falhará silenciosamente. Garanta que toda a infraestrutura depende de uma fonte NTP fiável.

Problemas na Cadeia de Certificados ocorrem quando o suplicante não tem a cadeia de confiança completa — incluindo CAs intermédias — instalada. Rejeitará o certificado do servidor. Certifique-se sempre de que o servidor RADIUS está configurado para enviar a cadeia de certificados completa durante a troca EAP.

Timeouts de RADIUS podem ocorrer se a latência entre o autenticador (WAP) e o servidor RADIUS for muito alta, fazendo com que o handshake EAP expire. Isto é comum em implementações distribuídas que utilizam um RADIUS centralizado na cloud. Ajuste os valores de timeout no WLC ou considere implementar proxies RADIUS regionais.

Certificados Expirados: Dispositivos que tentam autenticar com certificados expirados serão silenciosamente rejeitados. Implemente uma monitorização robusta para alertar os administradores sobre expirações iminentes de certificados antes que afetem os utilizadores.

Para mitigação de riscos, mantenha a rede PSK legada temporariamente durante a transição, mas restrinja a sua largura de banda ou privilégios de acesso para incentivar a migração. Encaminhe todos os registos de autenticação RADIUS para uma plataforma SIEM e realize revisões periódicas da infraestrutura PKI e das políticas RADIUS para garantir o alinhamento com os padrões de segurança atuais.

ROI e Impacto no Negócio

A transição para WiFi sem palavra-passe é um investimento estratégico com um retorno mensurável em várias dimensões.

Métrica	PSK Partilhada	Baseado em Certificados (802.1X)
Tickets de Helpdesk (conectividade)	Alto — redefinições frequentes de palavra-passe	Quase zero — provisionamento automatizado
Risco de segurança	Alto — credencial única para todos	Baixo — uúnico, revogável por dispositivo
Prontidão para conformidade	Fraca — sem responsabilização individual	Forte — registo de auditoria completo por dispositivo
Tempo de integração (corporativo)	Minutos (manual)	Segundos (MDM automatizado)
Revogação de credenciais	Disruptiva — requer rotação completa de PSK	Instantânea — revogar certificado individual

Redução da Sobrecarga do Helpdesk: Gerir palavras-passe partilhadas é um dreno significativo de recursos de TI. A autenticação sem palavra-passe, particularmente quando automatizada via MDM ou um portal de integração de autoatendimento, elimina virtualmente os tickets de helpdesk relacionados com palavras-passe.

Postura de Segurança Reforçada: Ao eliminar segredos partilhados, o risco de roubo de credenciais e acesso não autorizado à rede é drasticamente reduzido. Cada dispositivo tem uma identidade única, criptograficamente segura, que pode ser instantaneamente revogada se o dispositivo for perdido ou comprometido.

Conformidade Simplificada: Estruturas como o PCI DSS exigem controlos de acesso rigorosos e responsabilização individual. A autenticação baseada em certificados fornece um registo de auditoria claro de exatamente qual dispositivo acedeu à rede e quando, simplificando os relatórios de conformidade.

Experiência do Utilizador e Captura de Dados Melhoradas: Uma vez provisionado, o processo de conexão é totalmente transparente para o utilizador. Em ambientes como Retalho , esta conectividade sem atritos incentiva os utilizadores a aderir à rede, permitindo que os locais capturem dados primários valiosos e impulsionem o envolvimento personalizado através de plataformas como Purple.

Para organizações que gerem ambientes RF complexos, compreender a interação entre a autenticação e a infraestrutura física é crucial. Leitura adicional sobre considerações de infraestrutura pode ser encontrada em O Seu Guia para um Ponto de Acesso Sem Fios Ruckus . Além disso, compreender como conceitos de rede mais amplos se aplicam pode ser útil; consulte o nosso guia sobre Redes de Área Pessoal (PANs): Tecnologias, Aplicações, Segurança e Tendências Futuras .

Termos-Chave e Definições

802.1X

An IEEE standard for port-based network access control, providing an authentication mechanism to devices wishing to attach to a LAN or WLAN. It is the foundational protocol for enterprise-grade, passwordless WiFi.

The core standard that underpins all enterprise WiFi authentication, replacing the shared PSK model.

EAP-TLS (Extensible Authentication Protocol - Transport Layer Security)

A highly secure EAP method that requires mutual authentication using digital certificates on both the client and the server. No passwords are transmitted over the air.

Considered the gold standard for wireless security. The method of choice for any organisation serious about eliminating credential-based risk.

RADIUS (Remote Authentication Dial-In User Service)

A networking protocol that provides centralised Authentication, Authorisation, and Accounting (AAA) management for users who connect and use a network service.

The engine that processes authentication requests from Access Points and validates them against a directory. A RADIUS server is a mandatory component of any 802.1X deployment.

Supplicant

The client device (e.g., laptop, smartphone, IoT sensor) attempting to access the network. In 802.1X, the supplicant must present a valid certificate or credential to gain access.

The starting point of every authentication request. Understanding the supplicant's capabilities (e.g., whether it supports EAP-TLS) is critical during the planning phase.

PKI (Public Key Infrastructure)

A set of roles, policies, hardware, software, and procedures needed to create, manage, distribute, use, store, and revoke digital certificates and manage public-key encryption.

The underlying system required to issue and manage the certificates used in EAP-TLS. Without a functioning PKI, certificate-based authentication is not possible.

Passpoint (Hotspot 2.0)

A Wi-Fi Alliance standard that streamlines network access, allowing devices to automatically discover and connect to authorised WiFi networks without manual authentication steps.

Enables a seamless, cellular-like roaming experience for users across different venues. Particularly relevant for hospitality, retail, and public-sector deployments.

Dynamic VLAN Assignment

The process where a RADIUS server instructs the Authenticator to place a successfully authenticated user onto a specific Virtual LAN based on their identity or group membership.

Crucial for network segmentation, ensuring that IoT devices, guests, and corporate staff are logically isolated from one another — a key requirement for PCI DSS compliance.

SCEP (Simple Certificate Enrollment Protocol)

A protocol that enables network devices to automatically request and receive digital certificates from a Certificate Authority, typically orchestrated by an MDM solution.

The mechanism that enables zero-touch certificate provisioning for corporate devices, eliminating the need for manual certificate installation.

Estudos de Caso

A national retail chain with 500 locations is currently using a single WPA2-Personal (PSK) network for both store operations (inventory scanners, POS tablets) and corporate staff laptops. The IT director needs to improve security to meet PCI DSS compliance and reduce the operational burden of rotating the PSK every time an employee leaves. How should they implement passwordless WiFi?

Deploy a Cloud-RADIUS solution integrated with the central Identity Provider (e.g., Azure AD). 2. For corporate laptops, use the existing MDM (Microsoft Intune) to push a unique client certificate via SCEP, configuring devices to connect to a new 'Corp-Secure' SSID using EAP-TLS. 3. For inventory scanners and POS tablets, utilise an onboarding portal to provision device-specific certificates, binding them to a dedicated 'Ops-Secure' VLAN via RADIUS attributes. 4. Retain the PSK network temporarily, but change the password and restrict it to a quarantine VLAN to identify legacy devices that failed to migrate. 5. Once all devices are verified on the 802.1X network, decommission the PSK SSID.

Notas de Implementação: This phased approach minimises disruption while achieving the core objectives. Leveraging MDM for laptops provides a zero-touch experience for staff. Segmenting the POS and scanner traffic via dynamic VLAN assignment directly addresses PCI DSS requirements by isolating in-scope systems from general corporate traffic. The temporary quarantine VLAN is a critical risk mitigation step to ensure business continuity during the transition.

A large conference centre wants to offer seamless, secure WiFi to attendees without printing passwords on badges or requiring them to re-enter a captive portal every day. They want to leverage their existing Purple analytics platform. How can they achieve this?

The venue implements a Passpoint (Hotspot 2.0) enabled network infrastructure. 2. They utilise Purple's Connect licence, configuring Purple as the Identity Provider (IdP) for OpenRoaming. 3. When an attendee arrives, if their device already has an OpenRoaming profile (e.g., from their mobile carrier or a previous venue), they connect automatically and securely via EAP-TTLS or EAP-TLS. 4. For users without a profile, they connect to a standard onboarding SSID, authenticate once via the Purple captive portal (providing valuable first-party data), and are prompted to download a secure Passpoint profile. 5. For the remainder of the event, and on subsequent visits, the user connects automatically to the secure network without any passwords.

Notas de Implementação: This solution balances security, user experience, and marketing objectives effectively. By utilising Passpoint and OpenRoaming, the venue provides a cellular-like connectivity experience. Integrating Purple as the IdP ensures the venue still captures the necessary analytics and marketing opt-ins during the initial onboarding phase, while eliminating the friction of daily captive portal logins.

Análise de Cenários

Q1. You are deploying EAP-TLS across a university campus. During the pilot phase, several Windows laptops fail to connect, reporting an authentication error. The RADIUS logs show the server rejected the client certificates. The certificates are valid and issued by the correct internal CA. What is the most likely cause, and how do you resolve it?

💡 Dica:Consider the environmental factors that cryptographic certificate validation relies upon, beyond the certificate content itself.

Mostrar Abordagem Recomendada

The most likely cause is Clock Skew. EAP-TLS certificate validation is highly sensitive to time discrepancies. If the system time on the Windows laptops is significantly out of sync with the RADIUS server or the Certificate Authority, the certificates will be deemed invalid even if they are within their stated validity period. Resolution: ensure all devices and infrastructure components are configured to sync with a reliable NTP server. Verify time synchronisation on the RADIUS server, the CA, and the client devices.

Q2. A hospital IT director wants to implement passwordless WiFi for all clinical devices (infusion pumps, mobile workstations) but is concerned about the administrative overhead of managing certificates for thousands of headless devices that cannot use an onboarding portal. What is the recommended approach?

💡 Dica:Think about automated provisioning protocols used by device management systems, and how certificates can be delivered without user interaction.

Mostrar Abordagem Recomendada

The recommended approach is to leverage a Mobile Device Management (MDM) or Unified Endpoint Management (UEM) solution integrated with the hospital's PKI. Using protocols like SCEP (Simple Certificate Enrollment Protocol) or EST (Enrollment over Secure Transport), the MDM can silently request and install unique client certificates onto the clinical devices over the air, requiring zero manual intervention from IT staff or clinicians. The MDM should also be configured to automatically renew certificates before they expire.

Q3. Your organisation is transitioning from a shared PSK network to an 802.1X EAP-TLS network. You plan to run both SSIDs concurrently for one month. However, you want to ensure that users who have successfully migrated to the secure network do not accidentally fall back to the less secure PSK network. How can you configure the infrastructure to prevent this?

💡 Dica:Consider how the RADIUS server can be used to control access on the legacy network, and what information is available to it about devices that have already been provisioned.

Mostrar Abordagem Recomendada

Implement a RADIUS policy on the legacy PSK network that uses MAC Authentication Bypass (MAB) to identify devices. When a device successfully authenticates via EAP-TLS on the new network, its MAC address is recorded in the RADIUS database. The RADIUS policy for the legacy PSK network can then be configured to deny access — or assign to a quarantine VLAN with restricted bandwidth — for any MAC address known to be provisioned for 802.1X. This forces the device to use the secure SSID and prevents accidental fallback.