Jedno z možností jak obejít to, že PSK se stane veřejným tajemnístvím, je použití WPA2 EAP (ale něco na bázi TLS nebo TTLS, kvůli zlomitelnosti MS-CHAP), což asi nechcete pro složitost na straně klienta v nastavení..
Druhá možnost, pokud to má být pro klienta co nejjednodušší, je zvolit vhodné AP. Některá umí, že každý klient má své vlastní WPA PSK heslo. Podívejte se na krabičky Mikrotik RouterBoard. Pokud je použijte jako wifi AP, tak se dá nakonfigurovat,že mám jedno SSID, na něj se připojuje X lidí a každý člověk má jiné PSK. Pokud lidí není moc, jak je psáno, tak také vatrianta. Na AP pak vedete seznam MAC adres a jaké heslo přidělíte jaké MAC (/interface wireless access). Dalším plusem, že dané krabičky umí vyřešit i tu záležitost vyšší vrsty ověření formulářem atd (hotspot mód), takže by zvládly i tu část záležitosti.