PPSK 12: comparando funcionalidades e modelos de implementação

Bem-vindo ao briefing técnico da Purple. Hoje vamos abordar a PPSK 12 - ou seja, Private Pre-Shared Key com um comprimento mínimo de chave de 12 caracteres - comparando os seus recursos e modelos de implementação para promotores imobiliários, proprietários e operadores de build-to-rent. Comecemos pelo contexto. Se gere um edifício residencial com 50, 100 ou 300 frações, tem um problema de WiFi que nem uma palavra-passe partilhada nem uma implementação empresarial completa de 802.1X resolvem de forma limpa. Uma palavra-passe partilhada significa que todos os residentes estão na mesma rede. Se uma pessoa se muda, altera-se a palavra-passe e desconfigura-se a instalação de casa inteligente de todos os outros residentes. O 802.1X completo é o padrão de excelência para dispositivos geridos por empresas, mas requer uma infraestrutura de chaves públicas, gestão de certificados e configuração do suplicante em todos os dispositivos. Os Chromecasts, colunas inteligentes e consolas de jogos dos seus residentes simplesmente não conseguem fazer isso. A PPSK situa-se precisamente entre esses dois extremos. Cada residente recebe a sua própria chave pré-partilhada única - com um mínimo de 12 caracteres, misturando maiúsculas, minúsculas, números e símbolos. Todos os residentes ligam-se ao mesmo SSID. Do ponto de vista do residente, parece exatamente uma rede WiFi doméstica. Do seu ponto de vista como operador, cada ligação é identificada individualmente, encriptada individualmente e revogável individualmente. Secção um: a arquitetura técnica. Quando um dispositivo se liga a um SSID com suporte para PPSK, o controlador de LAN sem fios interceta a tentativa de ligação e reencaminha o endereço MAC do dispositivo para um servidor RADIUS. O RADIUS - Remote Authentication Dial-In User Service - é o motor de autenticação. O servidor RADIUS procura esse endereço MAC no seu armazenamento de identidades e devolve uma resposta Access-Accept. Incorporada nessa resposta está a chave pré-partilhada única para esse residente, juntamente com uma atribuição de VLAN. O controlador valida a chave que o dispositivo apresentou em relação à chave que o servidor RADIUS devolveu. Se coincidirem, o dispositivo autentica-se e entra no segmento de rede correto. O resultado é o que chamamos de uma bolha de WiFi por residente. Cada dispositivo ligado à chave do residente A vê todos os outros dispositivos ligados à chave do residente A. O telemóvel deteta o Chromecast. A coluna inteligente emparelha com as lâmpadas. A consola encontra a TV. Nenhum dispositivo ligado à chave do residente A vê qualquer dispositivo de uma chave diferente. Os dispositivos do residente B são invisíveis para o residente A, embora estejam no mesmo ponto de acesso físico. Os principais fabricantes implementam isto de forma ligeiramente diferente. A Cisco Meraki chama-lhe iPSK - Identity PSK. A HPE Aruba chama-lhe MPSK - Multi-PSK. A Ruckus chama-lhe DPSK - Dynamic PSK. A Juniper Mist utiliza PPSK. O princípio subjacente é idêntico em todos os quatro. Os detalhes de implementação diferem na forma como os atributos RADIUS são estruturados e no número de chaves únicas que um único SSID pode suportar. Sobre o comprimento da chave: o mínimo de 12 caracteres não é arbitrário. As chaves WPA2-PSK são derivadas usando PBKDF2 com 4.096 iterações de HMAC-SHA1. Uma chave com menos de 12 caracteres é vulnerável a ataques de dicionário offline, particularmente com ferramentas modernas de cracking aceleradas por GPU. Com 12 caracteres e classes de caracteres mistas, o espaço de chaves é suficientemente grande para tornar os ataques de força bruta computacionalmente inviáveis. Algumas plataformas, incluindo UniFi, impõem este mínimo ao nível da UI. Deve impô-lo na sua política de geração de chaves, independentemente de a plataforma o exigir ou não. Secção dois: modelos de implementação. Existem três arquiteturas de implementação para PPSK, e a escolha da correta depende do seu portfólio de propriedades e da capacidade da sua equipa. A primeira é o cloud RADIUS. Os seus pontos de acesso autenticam-se num serviço RADIUS alojado na cloud, normalmente em várias zonas de disponibilidade. Esta é a escolha certa para portfólios multi-site - um operador de BTR com propriedades em várias cidades, por exemplo. O cloud RADIUS elimina o hardware por site, automatiza a rotação de certificados e escala de forma elástica. A plataforma da Purple oferece 99,999% de tempo de atividade na sua infraestrutura de autenticação. O compromisso é a dependência da WAN: se a ligação à internet num site cair, os novos dispositivos não se conseguirão autenticar até que a conectividade seja restaurada. Mitigue isto com SD-WAN e cache local de credenciais no controlador. A segunda é o RADIUS local (on-premise). Um servidor RADIUS - normalmente Microsoft NPS ou FreeRADIUS - corre em hardware ou numa máquina virtual na propriedade. Isto proporciona-lhe uma latência de autenticação inferior a um milissegundo, soberania total dos dados e nenhuma dependência da WAN. É a escolha certa para uma única propriedade de grande dimensão com requisitos estritos de residência de dados, ou para ambientes onde a ligação à internet é instável. O custo operacional é mais elevado: a sua equipa gere a aplicação de patches, a rotação de certificados e a integridade do servidor. A expiração de certificados é a causa mais comum de falhas totais de autenticação em implementações locais. Integre a renovação automática de certificados no seu manual de procedimentos desde o primeiro dia. A terceira é a híbrida. O cloud RADIUS lida com SSIDs de convidados e IoT. O RADIUS local lida com qualquer SSID corporativo ou de funcionários que se autentique num Active Directory interno. Este é um modelo pragmático para empreendimentos de uso misto - um edifício BTR com retalho no rés-do-chão ou espaço de coworking, por exemplo. A plataforma da Purple suporta nativamente este modelo híbrido, correndo em pontos de acesso Cisco Meraki, HPE Aruba, Ruckus, Juniper Mist, Ubiquiti UniFi, Cambium, Extreme Networks e Fortinet. Secção três: gestão do ciclo de vida das chaves. A tecnologia é a parte mais fácil. A gestão do ciclo de vida das chaves é onde as implementações sucedem ou falham operacionalmente. No momento da mudança, a chave única do residente é gerada e provisionada automaticamente - idealmente através de integração API com o seu sistema de gestão de propriedades. O residente recebe a chave através de um email de boas-vindas ou da aplicação do residente. Todos os seus dispositivos ligam-se utilizando essa única chave. No momento da saída, a chave é revogada. Nenhum outro residente é afetado. Sem rotação de palavras-passe. Sem pedidos de suporte. A meio do contrato de arrendamento, os residentes adicionam dispositivos. O método correto é um portal de self-service ou uma aplicação do residente que emita a chave existente do residente para um novo dispositivo - sem expor essa chave a outros residentes. A plataforma da Purple fornece este fluxo de trabalho de forma nativa. O risco operacional crítico é a aleatorização do endereço MAC. O iOS 14 e posterior, o Android 10 e posterior, e o Windows 11 aleatorizam os endereços MAC por predefinição por razões de privacidade. Se um dispositivo apresentar um MAC aleatório, o seu servidor RADIUS não encontrará um registo correspondente e rejeitará a ligação. A solução consiste em configurar o seu SSID para exigir que os clientes utilizem o endereço MAC permanente do seu dispositivo, ou implementar um fluxo de trabalho de pré-registo. Isto precisa de estar no seu plano de implementação desde o primeiro dia, e não ser descoberto durante a entrada em funcionamento. Secção quatro: WPA3 e a consideração sobre 6 GHz. Uma palavra sobre o WPA3, porque é aqui que vejo os operadores cometerem erros de planeamento. O PPSK, tal como está atualmente implementado, depende do handshake de quatro vias do WPA2-PSK. O WPA3 introduz o SAE - Simultaneous Authentication of Equals - que altera o mecanismo de handshake. O SAE suporta atualmente apenas uma chave por SSID. Isso significa que um SSID puramente WPA3 não pode suportar múltiplas chaves pré-partilhadas exclusivas. Na banda de 6 GHz, introduzida com o WiFi 6E, o WPA3 é obrigatório. Não pode de todo executar WPA2 na banda de 6 GHz. Por isso, se estiver a implementar pontos de acesso WiFi 6E ou WiFi 7 e quiser utilizar a banda de 6 GHz, o PPSK não está disponível nessa banda atualmente. A recomendação prática para implementações em 2025 e 2026 é uma estratégia de banda dupla. Execute o seu SSID PPSK em 2.4 GHz e 5 GHz em modo de transição WPA2 ou WPA2/WPA3. Utilize um SSID WPA3-Enterprise separado em 6 GHz para dispositivos geridos que o suportem. Isto proporciona-lhe o isolamento por residente do PPSK para a vasta frota de dispositivos, e a segurança melhorada do WPA3 para os dispositivos que o podem utilizar. Fabricantes incluindo a Cisco Meraki, HPE Aruba e Juniper Mist estão a trabalhar ativamente em implementações PPSK compatíveis com WPA3. Secção cinco: conformidade e privacidade de dados. As implementações de PPSK em ambientes residenciais enquadram-se num contexto de privacidade mais sensível do que o WiFi para convidados. Os residentes têm uma relação contínua consigo, e a exposição dos dados estende-se por anos em vez de minutos. O isolamento dos residentes é, por si só, um requisito de privacidade ao abrigo do GDPR. Tem o dever de diligência de impedir que um residente descubra ou interaja com os dispositivos de outro residente. O PPSK é o mecanismo técnico que garante isto. A atribuição de VLAN por residente assegura o isolamento de Camada 2 mesmo numa infraestrutura física partilhada. Os registos de autenticação devem ser retidos apenas durante o tempo necessário para segurança e operações. Seis meses é um limite comum para implementações residenciais. A Purple armazena dados em regiões selecionáveis, suportando os requisitos de residência de dados do Reino Unido, UE e EUA. Para operadores de BTR com retalho no rés do chão ou inquilinos de restauração, o PCI-DSS é relevante. O PPSK com atribuição de VLAN por inquilino permite-lhe demonstrar que os dispositivos de processamento de pagamentos estão num segmento criptograficamente isolado, mesmo numa infraestrutura física partilhada. Trata-se de uma vantagem de conformidade significativa em relação a uma implementação de palavra-passe partilhada. Secção seis: perguntas de resposta rápida. Quantas chaves exclusivas pode um único SSID suportar? Isto depende do controlador. O Cisco Meraki suporta até 5.000 iPSKs por SSID sem RADIUS, e efetivamente ilimitados com RADIUS. O Ruckus DPSK suporta milhares por zona. Na prática, o fator limitante é a capacidade da base de dados do seu servidor RADIUS e o desempenho das consultas, não o controlador sem fios. O PPSK funciona com dispositivos IoT? Sim. Os dispositivos IoT - colunas inteligentes, termóstatos, sensores, fechaduras - ligam-se utilizando a chave do residente exatamente como qualquer outro dispositivo. Ficam posicionados na VLAN do residente e podem descobrir outros dispositivos na mesma chave. Esta é a razão principal pela qual o PPSK é a arquitetura correta para implementações de BTR e MDU, onde 15 a 25 dispositivos por habitação é agora a norma. Qual é o caso de negócio? Um serviço de WiFi gerido com isolamento por residente traduz-se num prémio de renda de £15 a £30 por unidade por mês em pesquisas de BTR da British Property Federation. Os períodos de inatividade diminuem de cinco a dez dias quando o WiFi de entrada está pronto no primeiro dia. O volume de pedidos de suporte para problemas de Chromecast e smart home cai para quase zero quando o PPSK é corretamente implementado. Resumo e próximos passos. O PPSK com um comprimento mínimo de chave de 12 caracteres é a arquitetura de autenticação WiFi correta para implementações de BTR, MDU, alojamento de estudantes e habitação social. Oferece isolamento por residente, suporte total a IoT e gestão automatizada do ciclo de vida das chaves sem a sobrecarga de infraestrutura do 802.1X. Escolha o RADIUS na nuvem para portfólios multi-site. Escolha o RADIUS local para propriedades únicas de grande dimensão com requisitos de soberania de dados. Utilize um modelo híbrido para empreendimentos de utilização mista. Planeie a aleatorização de endereços MAC desde o primeiro dia. Desenvolva uma estratégia de banda dupla para implementações de WiFi 6E e WiFi 7 enquanto as implementações de PPSK compatíveis com WPA3 amadurecem. As três coisas a fazer este trimestre: auditar o seu modelo de autenticação atual face a estes critérios, avaliar a sua infraestrutura RADIUS e definir o seu fluxo de trabalho de gestão do ciclo de vida das chaves, incluindo a integração com o seu sistema de gestão de propriedades. A plataforma Multi-Tenant WiFi da Purple funciona nos pontos de acesso que já possui, em 80.000 locais ativos, e oferece um tempo de atividade de 99,999% na sua infraestrutura de autenticação. Obrigado por participar neste briefing técnico da Purple.