Come è stato menzionato come commento alla tua domanda, tutto quello che puoi fare è renderlo più difficile.
Gli attuali protocolli WiFi richiedono che il client e l'AP conoscano entrambi il PSK. Questo è inevitabile così com'è, e non sono sicuro di nessun piano per cambiare questo.
Puoi impiegare una serie di tecniche diverse per rendere i segreti più difficili da ottenere. Devi comunque tenere in considerazione il tuo modello di minaccia: cosa stai proteggendo, da chi lo stai proteggendo e per quanto tempo vuoi che sia protetto.
L'attività non è dissimile dalla protezione delle chiavi in un modulo di sicurezza hardware. Questi spesso usano tecniche avanzate per impedire a qualcuno - anche con un accesso fisico esteso - di ottenere le chiavi segrete.
Specificamente, per la maggior parte dei dispositivi IoT, sono già memorizzati in un'area protetta, cioè all'interno della casa. The Ring Campanello e alcune telecamere IP CCTV infrangono questa barriera e si trovano in aree in cui un utente malintenzionato può accedervi più facilmente: occorre fare attenzione. Detto questo, non dovresti fare affidamento su tutti quelli nell'area protetta che sono benigni - ad esempio, se il tuo adolescente può usare solo un SSID a tempo limitato, potrebbe provare a recuperare un altro PSK per un SSID normale da un altro dispositivo.
Ovviamente dovresti proteggere la chiave che viene letta sulla rete, come abbiamo trovato nel Ring Campanello (completa informativa, sono un dipendente dei Pen Test Partners che ha riscontrato il problema). Un certo numero di SoC / schede WiFi comuni sono dotati di SDK che hanno fori come questi.
Alcuni SoC / schede WiFi consentono di impostare il PSK una sola volta e quindi di rendere più difficile il recupero della chiave. Al minimo, questi richiedono il collegamento di JTAG o SPI per leggere un po 'di memoria. Nel peggiore dei casi, potrebbe essere necessario sviluppare nuovi attacchi per recuperare il contenuto della EEPROM di bordo.
Le schede di invasatura fisica rendono più difficile l'accesso a bus e chip e dissuadono gli aggressori.
Questo potrebbe essere esteso ulteriormente per aggiungere funzionalità anti-manomissione come quella che si trova nei meccanismi di sicurezza hardware o Chip & Terminali pin.
Crittografare la chiave con una chiave simmetrica è in gran parte inutile nella maggior parte dei piccoli sistemi embedded che possono essere attaccati fisicamente.