Per-Device PSK por Fabricante: iPSK, DPSK, MPSK e PPSK Comparados (e Suporte a WPA3)

PSK por Dispositivo por Fabricante: iPSK, DPSK, MPSK e PPSK Comparados, e Suporte WPA3. Um Briefing Técnico da Purple. Introdução e Contexto. Bem-vindo à série de briefings técnicos da Purple. Vou guiá-lo por um dos tópicos mais importantes do ponto de vista prático - e frequentemente incompreendido - em redes WiFi corporativas atualmente: chaves pré-partilhadas por dispositivo. Especificamente, vamos comparar como cada um dos principais fabricantes implementa esta capacidade, como lhe chamam, como funciona na realidade nos bastidores e - fundamentalmente - o que acontece quando tenta migrar para o WPA3. Se é um gestor de TI, arquiteto de rede ou diretor de operações de instalações que gere redes WiFi num complexo hoteleiro, numa cadeia de retalho, num estádio ou num campus do setor público, este briefing é para si. Provavelmente já se deparou com a sopa de letras: iPSK, DPSK, MPSK, PPSK. Todos se referem ao mesmo conceito - atribuir a cada dispositivo ou utilizador a sua própria palavra-passe exclusiva num único SSID - mas as implementações diferem significativamente, e essas diferenças importam quando está a planear a sua próxima renovação de infraestrutura. Vamos começar com os conceitos fundamentais, depois analisar cada fabricante e terminar com a questão do WPA3 com a qual todos se estão a debater neste momento. Análise Técnica Detalhada. Então, o que é o PSK por dispositivo e por que razão existe? O WPA2-Personal tradicional utiliza uma única frase-passe partilhada para todo um SSID. Todos na sua rede de convidados utilizam a mesma palavra-passe. Isso cria dois problemas. Primeiro, não pode revogar o acesso de um dispositivo sem alterar a palavra-passe de todos os outros. Segundo, não tem visibilidade por dispositivo ou aplicação de políticas. O PSK por dispositivo resolve ambos os problemas. Cada dispositivo ou utilizador obtém uma credencial exclusiva. Pode revogar uma sem afetar as restantes. Pode atribuir diferentes VLANs, políticas de largura de banda ou horários de acesso por chave. É o meio-termo entre a simplicidade do WPA2-Personal e a complexidade da autenticação empresarial completa 802.1X. Agora vamos ver como cada fabricante implementa isto. A Cisco Meraki chama-lhe iPSK - Identity Pre-Shared Key. A Meraki suporta dois modos. Sem RADIUS, configura até cinco PSKs exclusivos diretamente no painel de controlo da Meraki, cada um mapeado para uma VLAN. É rápido de configurar e não requer infraestrutura externa. Com RADIUS - normalmente o Cisco ISE - pode escalar para milhares de chaves. O cliente associa-se, o AP envia o endereço MAC e uma pista de PSK para o servidor RADIUS, o servidor devolve a chave por dispositivo correta e o handshake de quatro vias padrão do WPA2 é concluído utilizando essa chave como a Pairwise Master Key. A principal conclusão aqui é que o servidor RADIUS faz a pesquisa, não o AP. O AP apenas facilita a troca. A HPE Aruba chama-lhe MPSK - Multiple Pre-Shared Key. O Aruba Central e o Aruba Instant suportam MPSK em dois modos: MPSK Local, onde as chaves são armazenadas no controlador ou cluster de AP, e MPSK com ClearPass, o RADIUS e motor de políticas da Aruba. O ClearPass pode conter dezenas de milhares de chaves, atribuir VLANs dinâmicas e aplicar políticas baseadas em funções por chave. O fluxo de autenticação é essencialmente o mesmo que o modo RADIUS da Meraki - a pesquisa baseada em MAC devolve a chave por dispositivo antes do handshake de quatro vias. A Ruckus - agora parte da CommScope - chama-lhe DPSK, Dynamic Pre-Shared Key. Esta é, sem dúvida, a implementação mais madura do mercado. O Ruckus DPSK está disponível desde os primeiros dias do SmartZone. No modo local, o serviço DPSK corre no controlador e detém a base de dados de chaves. No modo RADIUS, integra-se com o Cloudpath, a plataforma de controlo de acessos à rede da própria Ruckus. O que torna a Ruckus notável é o DPSK3 - a sua extensão WPA3 de DPSK, à qual voltaremos em breve. O DPSK3 está disponível em pontos de acesso Wi-Fi 6, 6E e 7 que executem a versão de firmware 7.0 ou posterior, e funciona no modo misto WPA2 barra WPA3. A Juniper Mist chama-lhe PPSK - Private Pre-Shared Key - ou por vezes Multi-PSK. A Mist armazena chaves na nuvem, na base de dados de chaves da organização ou do site Mist, com um limite de 5.000 chaves por site. As chaves podem ser atribuídas por utilizador, por dispositivo ou por grupo. A Mist também se integra com o seu serviço Access Assurance - o NAC nativo da nuvem - que adiciona pesquisa de PSK baseada em RADIUS. Crucialmente, a Juniper anunciou o suporte para WPA3 RADIUS PSK através do Access Assurance, permitindo que um único SSID WPA3-Personal sirva múltiplas frases-passe. Esta é uma das implementações mais orientadas para o futuro no mercado. A Extreme Networks - que adquiriu a Aerohive - chama-lhe PPSK, Private Pre-Shared Key, através do ExtremeCloud IQ. A implementação da Extreme suporta o armazenamento local de chaves no próprio AP, o que é útil para filiais ou locais remotos com conectividade limitada. Também suporta pesquisa baseada em RADIUS através do serviço RADIUS na nuvem da ExtremeCloud IQ. A vinculação de MAC está disponível, o que associa um PPSK a um endereço MAC de dispositivo específico para maior segurança. A Fortinet chama-lhe MPSK, Multiple Pre-Shared Key, gerido através do FortiAP e do controlador sem fios FortiGate. A implementação da Fortinet é notável porque suporta explicitamente os modos de segurança WPA3-SAE e WPA3-SAE Transition nos seus perfis MPSK - a partir da versão 8.0 do firmware do FortiAP. Pode criar um perfil MPSK com chaves WPA3-SAE, atribuí-las a um VAP e ativar a atribuição dinâmica de VLAN por chave. Esta é uma das implementações de WPA3 MPSK mais limpas disponíveis atualmente. A Ubiquiti UniFi chama-lhe Private Pre-Shared Keys, ou Private PSK. A implementação da UniFi é apenas local - as chaves são guardadas no controlador UniFi Network, e não num servidor RADIUS externo. Pode atribuir VLANs diferentes por chave e definir limites de clientes por chave. A limitação significativa: em meados de 2026, o UniFi Private PSK apenas funciona em redes WPA2 em 2.4 GHz e 5 GHz. WPA3 e 6 GHz não são suportados. Para implementações mais pequenas isto serve perfeitamente, mas é uma restrição que vale a pena conhecer antes de se comprometer com uma infraestrutura UniFi em grande escala. Agora, a questão do WPA3. É aqui que as coisas se tornam tecnicamente interessantes. O WPA2-Personal utiliza um handshake de quatro vias. O cliente e o AP derivam uma Pairwise Transient Key a partir de uma Pairwise Master Key partilhada, que por sua vez é derivada da frase-passe. Como a derivação da PMK ocorre após a consulta RADIUS, o AP pode substituir por uma chave por dispositivo nesse momento. O protocolo padrão não quer saber - apenas vê uma PMK válida. O WPA3-Personal substitui o handshake de quatro vias por SAE - Simultaneous Authentication of Equals. O SAE é um protocolo baseado em Diffie-Hellman. Ambas as partes comprometem-se com um elemento de palavra-passe partilhado derivado da frase-passe antes de a associação ser concluída. A diferença crítica: a palavra-passe tem de ser conhecida por ambas as partes antes do início da troca SAE. Não há nenhum ponto no protocolo onde um servidor RADIUS possa injetar uma chave diferente por dispositivo. O AP e o cliente já estão a realizar um processo criptográfico com um único valor partilhado. É por isso que, atualmente, o WPA3 apenas permite uma chave por SSID na sua forma padrão. Não se trata de uma limitação de firmware. É uma restrição do protocolo. As soluções de contorno dividem-se em três categorias. Primeiro, o modo de transição WPA3 - também designado por modo misto WPA2 barra WPA3. O SSID anuncia tanto WPA2-PSK como WPA3-SAE. Os clientes WPA2 utilizam o handshake de quatro vias e podem receber chaves por dispositivo via RADIUS. Os clientes WPA3 utilizam SAE com uma única palavra-passe partilhada. Esta é a abordagem mais amplamente implementada hoje em dia e é suportada pela Cisco Meraki, HPE Aruba, Ruckus, entre outros. Segundo, extensões proprietárias. O Ruckus DPSK3 é o exemplo mais claro. Ao funcionar no modo misto WPA2 barra WPA3 com o Cloudpath como backend RADIUS, o DPSK3 permite que os dispositivos compatíveis com WPA3 utilizem SAE enquanto o sistema gere a associação de chaves por dispositivo através da integração com o Cloudpath. O Access Assurance WPA3 RADIUS PSK da Juniper adota uma abordagem semelhante. O MPSK da Fortinet com o modo WPA3-SAE Transition permite misturar chaves WPA2-Personal e WPA3-SAE no mesmo perfil MPSK. Terceiro, mudar para 802.1X. Para endpoints geridos - computadores portáteis corporativos, dispositivos de funcionários, tudo aquilo para onde possa enviar um certificado - o WPA3-Enterprise com EAP-TLS é a resposta ideal. É totalmente compatível com WPA3 e 6 GHz, fornece identidade por dispositivo e integra-se com o Microsoft Entra ID, Okta e Google Workspace. O compromisso reside na complexidade da implementação e na necessidade de uma infraestrutura de certificados. Recomendações de Implementação e Erros Comuns. Então, o que deve realmente fazer? Se estiver a gerir um parque hoteleiro com uma mistura de dispositivos de clientes, sensores IoT e dispositivos de funcionários, a resposta pragmática em 2026 é um design híbrido de SSID. Mantenha um SSID WPA2-Personal com PSK por dispositivo para IoT legado e dispositivos de clientes. Execute um SSID WPA3-Enterprise para os dispositivos de funcionários que controla. Use o modo de transição no seu SSID principal de clientes para suportar clientes WPA2 e WPA3 sem fragmentar a sua contagem de SSID. Se utiliza Ruckus e tem hardware Wi-Fi 6 ou mais recente, vale a pena avaliar o DPSK3 em modo misto WPA2 barra WPA3 com Cloudpath. Oferece o que há de mais próximo do PSK por dispositivo WPA3 nativo disponível hoje em dia. Se utiliza Fortinet, o perfil MPSK com WPA3-SAE Transition é simples de configurar e oferece-lhe um caminho de migração limpo. Se utiliza UniFi, seja explícito com os seus stakeholders de que o Private PSK é apenas WPA2. Para espaços que implementam Wi-Fi 6E ou Wi-Fi 7 com rádios de 6 GHz, precisará de uma estratégia de autenticação diferente para essa banda. O maior erro que vemos é as equipas assumirem que a ativação do WPA3 num SSID de PSK por dispositivo existente funcionará de imediato. Não funcionará. Teste primeiro num site piloto. Verifique as versões de firmware dos seus APs - o DPSK3 requer firmware 7.0 ou posterior na Ruckus, por exemplo. E verifique a compatibilidade do seu servidor RADIUS - o Ruckus DPSK3 em modo misto requer especificamente o Cloudpath, e não um servidor RADIUS genérico. Um segundo erro é a dispersão de chaves. O PSK por dispositivo é excelente para a responsabilização, mas apenas se tiver um processo para revogar chaves quando os dispositivos são descontinuados. Sem uma gestão de ciclo de vida, acaba com milhares de chaves órfãs e sem rasto de auditoria. Integre o aprovisionamento de chaves com o fluxo de trabalho de gestão de dispositivos desde o primeiro dia. Perguntas e Respostas Rápidas. Posso usar PSK por dispositivo num SSID de 6 GHz? Não. A banda de 6 GHz exige obrigatoriamente apenas WPA3, e o WPA3 não suporta nativamente PSK por dispositivo. Use 802.1X ou um SSID separado de 2.4 barra 5 GHz para dispositivos que precisam de PSK por dispositivo. O PSK por dispositivo cumpre os requisitos do PCI DSS? O PSK por dispositivo em WPA2 pode cumprir os requisitos de segmentação de rede PCI DSS 4.0 se cada chave for mapeada para uma VLAN isolada. Mas o PCI DSS recomenda vivamente o 802.1X para ambientes de dados de titulares de cartões. Confirme com o seu QSA. Qual é o número máximo de chaves por SSID? Varia significativamente. O Cisco Meraki com ISE suporta implementações muito grandes. O Ruckus DPSK suporta dezenas de milhares de chaves. O Juniper Mist limita a 5.000 por site. O UniFi é efetivamente limitado pela memória do controlador. Verifique sempre a documentação do fabricante para a sua versão de firmware específica. Como é que a Purple se enquadra nisto? A Purple funciona como uma sobreposição em nuvem (cloud overlay) no topo do seu hardware existente. Integramo-nos com Cisco Meraki, HPE Aruba, Ruckus, Juniper Mist, Ubiquiti UniFi, Cambium, Extreme e Fortinet. Para implementações de Guest WiFi e Staff WiFi, a Purple gere a camada de identidade - autenticação, captura de dados, gestão de consentimento - e devolve a VLAN adequada ou a atribuição de políticas ao seu hardware através de RADIUS ou API. Mantém a sua infraestrutura PSK por dispositivo existente; a Purple adiciona a camada de identidade e analítica por cima. Resumo e Próximos Passos. Vamos reunir tudo isto. O PSK por dispositivo - quer lhe chame iPSK, DPSK, MPSK ou PPSK - é uma funcionalidade madura e bem suportada por todos os principais fornecedores de WiFi empresarial. As implementações diferem no local onde as chaves são armazenadas, na forma como escalam e em como se integram com RADIUS. O protocolo SAE do WPA3 cria uma limitação técnica real para o PSK por dispositivo. A norma não o suporta nativamente. As respostas práticas hoje em dia são o modo de transição, extensões proprietárias como DPSK3, ou a migração para 802.1X para os dispositivos que o suportam. O resumo fornecedor por fornecedor: Cisco Meraki iPSK funciona bem com o ISE em modo RADIUS; o suporte WPA3 é feito através do modo de transição. HPE Aruba MPSK com ClearPass é altamente escalável; WPA3 MPSK está em desenvolvimento ativo. Ruckus DPSK3 é a solução PSK por dispositivo WPA3 mais madura disponível. Juniper Mist Access Assurance adiciona WPA3 RADIUS PSK. Fortinet MPSK suporta explicitamente WPA3-SAE nos seus perfis MPSK. Extreme PPSK é sólido para os modos local e RADIUS. UniFi Private PSK é apenas WPA2 e apenas local. Para os seus próximos passos: audite a sua implementação atual de PSK por dispositivo, identifique quais os dispositivos compatíveis com WPA3 e conceba uma estratégia de SSID híbrida que sirva ambos. Se está a planear uma renovação de hardware, priorize APs Wi-Fi 6 ou Wi-Fi 7 com suporte confirmado para DPSK3 ou WPA3 MPSK. Se deseja compreender como a Purple se integra com o seu fornecedor de hardware específico para adicionar gestão de identidade e analítica sobre a sua implementação de PSK por dispositivo, visite purple.ai ou fale com a sua equipa de conta. Terminamos assim este briefing. Obrigado por ouvir.