Salta al contenuto
info@dadonet.it
WiFiSecure — a Dadonet Academy company

WPA3-Enterprise: cosa cambia davvero rispetto a WPA2 e quando passare

Sicurezza Wi-Fi · · Team WiFiSecure

WPA3 è arrivato nel 2018 e — con qualche ritardo del solito — è diventato lo standard di fatto sulle nuove infrastrutture wireless enterprise. Eppure incontriamo ancora reti aziendali nuove di zecca, configurate solo in WPA2-Personal con la PSK condivisa via post-it.

In questo articolo spieghiamo cosa cambia davvero con WPA3, dove conviene davvero migrare oggi e come farlo senza causare rotture nella flotta dei dispositivi.

Le tre evoluzioni chiave

WPA3 introduce tre modifiche fondamentali rispetto a WPA2:

  1. SAE (Simultaneous Authentication of Equals) — sostituisce il 4-way handshake PSK con uno scambio resistente agli attacchi offline. Non è più possibile catturare un handshake e provarlo a forza bruta.
  2. Modalità 192-bit per Enterprise — suite crittografica allineata ai requisiti CNSA (cifratura GCM-256, derivazione SHA-384, certificati P-384). Obbligatoria di fatto per ambienti finanziari, sanitari e PA.
  3. Protected Management Frames (PMF) — i frame di management diventano protetti per default, mitigando attacchi di deauth e disassoc utilizzati nei tool come aireplay-ng.

Quando migrare davvero

Non serve una migrazione di emergenza per la maggior parte delle reti. Serve invece quando:

  • È in corso un audit NIS2 / ISO 27001 / SOC2 che chiede crittografia “moderna”
  • Stai rinnovando AP e i nuovi modelli supportano WPA3 nativamente
  • Hai dispositivi medicali, IoT industriale o terminali RF che gestiscono dati sensibili
  • Stai abilitando 802.1X per la prima volta — tanto vale farlo bene

Strategia di migrazione

Il rischio principale è rompere dispositivi legacy che non supportano WPA3. Il pattern che usiamo nei nostri deployment:

  1. Inventario dispositivi. Censire tutti i client, marca/modello/OS. Ubuntu < 18.04, Android < 10, iOS < 13 hanno problemi noti.
  2. Modalità WPA3-Transition (mixed). Configurare l’SSID in modalità mista WPA2/WPA3. I dispositivi nuovi negoziano WPA3, i vecchi restano in WPA2.
  3. Monitorare per 4-6 settimane. Verificare con i log AP quanti client effettivamente usano WPA3. Se supera l’80%, si può programmare la transizione completa.
  4. Switch finale. Disattivare la modalità mista e abilitare WPA3-only. I dispositivi rimasti indietro verranno isolati su SSID legacy o sostituiti.

Errore comune: confondere WPA3-Personal e WPA3-Enterprise

Molti deployment aziendali “passano a WPA3” ma lasciano comunque la PSK condivisa. Questo è WPA3-Personal: meglio di WPA2-PSK per via di SAE, ma assolutamente non sufficiente in ambito enterprise.

Quello che serve è WPA3-Enterprise con autenticazione 802.1X, idealmente in modalità EAP-TLS con certificati per dispositivo. Il PSK condiviso è una vulnerabilità organizzativa, non solo tecnica: ogni dipendente che lascia l’azienda porta con sé la chiave.

La nostra raccomandazione

Per nuovi progetti enterprise: WPA3-Enterprise + 802.1X EAP-TLS, con PKI interna o servizio gestito. PMF obbligatori. Modalità 192-bit per i settori regolamentati.

Per deployment esistenti: pianificare una migrazione strutturata in modalità transition, evitando il “big bang” che porta sempre a richieste di support out-of-hours.

Se vuoi un’analisi sulla tua infrastruttura attuale, richiedi un assessment gratuito: in 30 minuti analizziamo la postura del tuo Wi-Fi enterprise.

Tag WPA3802.1XHardeningCompliance

Hai trovato utile l'articolo?

Iscriviti alla newsletter per ricevere il prossimo nella tua casella.

Iscriviti