Non sono un esperto di come funziona il WPA, ma non penso che ci sia un modo per impostare un AP che accetti qualsiasi password; l'handshake a 4 vie è molto più complicato del client che invia la password ad AP e chiede se è corretto.
I gemelli tradizionali malvagi funzionano conoscendo già la password e sono utilizzati per lanciare diversi tipi di attacchi sui client, non per trovare la password per una rete esistente.
Ci sono strumenti progettati per rendere questo processo di attirare un bersaglio su una rete che controlla i malintenzionati più facilmente. In particolare Airbase-ng e Wifish. La Wifish in particolare sfrutta il modo in cui i client wifi cercano di riconnettersi alle reti precedentemente note. Ricordo che funziona bene per i protocolli non protetti e WEP. La pagina web fa anche menzioni di vagabondaggio al WPA ma non ricordo i dettagli, ho visto la presentazione qualche tempo fa.
Questo è qualcosa che puoi investigare se sei interessato. Puoi trovare la presentazione su youtube.
link