Ну а чего там... всё точно также, как при первом коннекте к SSH - выводим окошко "Вы доверяете сети Vasya_Pupkin_WiFi? Отпечаток RSA2 ключа: AA:BB:CCD: ...", вот так это сделано в WinSCP:

http://winscp.net/eng/data/media/screenshots/unknown_hostkey.png

- Простому юзеру будет достаточно нажать кнопочку "Да".

- Продвинутый пользователь нажмёт кнопку "Да" только при первом соединении.

- А параноики скачают сертификат устройства по витой паре.

- Все довольны.

Не совсем так.

При любом подключении, ещё до передачи ключа, если клиент одобряет удостоверение (сертификат) точки доступа, то сразу же организуется защищённый SSL/TLS канал. И уже внутри него по специальному протоколу клиент шлёт пароль, в чистом виде или хешем - уже не важно, канал защищён. После успешной проверки пароля клиент получает доступ к сети (до проверки и во время неё клиенты естественно изолированы друг от друга, и пароль не перехватить).

Публичный сертификат, и как следствие его отпечаток, у точки доступа в нормальной ситуации меняться не должен. Клиент один раз принимает сертификат, и окошка с подобным вопросом уже не возникнет до тех пор, пока по какой-либо причине этот сертификат у точки не изменится. А сам SSL, как известно, устроен таким образом, что клонировать сертификат третье лицо не сможет без приватных ключей.

Ничего подобного, я со многими сисадминами дружу, и они благодарны за такую полезную утилиту. Если сисадмин не может грамотно настроить железку, то он работает не на той должности.

Приключений на пятую точку избегают только параноики. Да и опять же, идеи - они не мои, они витают в воздухе, в эфире, в глобальном информационном поле вселенной.