Fondamentalmente, è 802.1x. La derivazione della chiave è complicata. C'è una spiegazione di alto livello qui: link
Per rispondere alla tua domanda semplicemente, la chiave (in realtà ci sono diverse chiavi) è concordata dall'AP e dal client in base a un'altra chiave emessa dal server RADIUS di autenticazione. Tutte queste chiavi sono chiavi di sessione (effimere), ad eccezione della chiave transitoria di gruppo, che viene condivisa tra i client (per multicast e broadcast) ma periodicamente cambiata.
Conoscere semplicemente le credenziali non ti farà arrivare allo stesso set di chiavi di un altro utente con le stesse credenziali o lo stesso insieme di chiavi che hai avuto l'ultima volta che ti sei autenticato. Qualsiasi credenziale ti darà la chiave transitoria di gruppo, ma il traffico unicast rimane sicuro.
Come per tutte queste cose, c'è un attacco. Per rendere il traffico insicuro, un utente malintenzionato potrebbe creare un AP non autorizzato che funge da gateway, consentendo all'autorità di autenticarsi e, a sua volta, di autenticarsi con le proprie credenziali sulla rete. Questo è un MitM attivo, però, non una rivelazione passiva come se fossi preoccupato.