a ver señores...
agrego unos datos:
La actualizacion de llave dentro de una wpa no necesariamente es cada 30 minutos. Este tipo de patron se llama key update.... puede estar definido en 0 segundos (no se hace update) (despues explicare casos en que se usa) o bien con un minimo de 30 segundos entre cambios, siendo el tiempo mas recomendable de recambio 5 minutos , o bien 30 minutos como dice mi viejo amigo Kozaki .
Hay casos en que la autentificacion despues de un key exchange no se logra inmediatamente (unicast key exchange timeout), debido a que el cpu y buffer del acces point cliente de la red estan llenos, (equipos de pocos recursos) , por lo cual se torna fastidioso y provoca downtime o caidas de mas del doble de tiempo definido en el keyupdate. Es por eso que dejar en 0 el periodo de actualizacion provoca un mejor funcionamiento de la red, con la consiguente baja en el nivel de seguridad (suponiendo que el passphrase sea de 8 caracteres por ej)
otra cosita... no todos los certificados son iguales ni mucho menos, estan aquellos pre shared (que pueden ser codificados o plain text).
un certificado de 4096 bits es el caso de un MSchap2 ... por cierto casi imposible de Auditar ( se han dado pocos casos vulnerables usando debilidades del protocolo cisco con ASleap). Este es muy usado en nodos donde los equipos integrantes son de elevados recursos por lo cual puden hacer comodamente el proceso de la charla cifrada.
en freeradius , lo mas normal , y lamentable, es que se use generalmente en texto plano o bien mschap 1 , bastante vulnerable por cierto.
gracias a esto cain , ettercap , etc , hacen estragos.
todo esto lo tengo bien frequito jeje

, ultimamente estuve escribiendo codigo en conjunto con un compañero y buen amigo ( supervisor en hispasec ),basandonos en iproute2, el cual se hizo en conjunto, el nuevo paquete se seguridad radius, pppoe, vpn y l2TP que esta siendo testeado y sera utilizado definitivamente en la V3 de Routeros , propiedad de Mikrotik.
Todas las opiniones son válidas, pero a mi parecer, es mucho mas seguro tener una clave wpa II bien robusta con un keyupdate adecuado que basar la seguridad en un radius.
El radius es una opcion interesante para que cada cliente interno no se pase de listo y se salte resticciones que le son asignadas, amen de un buen control de ancho de banda, etc etc etc.
obviamente combinar ambas cosas es mejor...
si les interesa puedo seguir ...

, nooo no los duermo mas :

ah se me olvidaba, el radius puede tener muchas caracteristicas, un ip asignada por dhcp solo para autentificacion y una vez superada esta, una fija definitiva asignada en segunda instancia..
puede tener wallen garden (ciertas paginas, que se pueden dejar explorar sin autentificacion)
etc etc
muchos saludos