SSID muss nicht sichtbar sein fürs Roaming .... geht auch mit Hidden SSID. Ich habe genug Kunden, die ihre SSID versteckt haben und deren Clients roamen. Der AP sendet trotzdem Beacon aus, nur ohne den Namen der SSID.
Seit wann hat Windows ein Problem mit versteckter SSID? Das ist mir neu. Linux kann sowieso vieles besser Und recht hast du, dass die SSID ausgestrahlt wird, wenn sich ein Client verbindet. Jedoch braucht ein potentieller Angreifer auch einen Sniffer und muss im richtigen Moment mitschneiden.
Hidden SSID ist eine einfache, schnelle und umkomplizierte Lösung, sein heimisches WLAN zu "sichern". Es natürlich keine ultimative Lösung und vorallem ist eher als präventive Maßnahme anzusehen. Sicher wird dein WLAN nur durch ein starkes Authentifizierungsverfahren (EAP+ TLS/TTLS) in Verbindung mit einer starken Verschlüsselung (WPA2-AES .. mehr geht da nicht).
Es gibt auch EAP-Lösungen, die nicht auf Zertifikaten basieren, manche Access-Points haben dann einen Mini-RADIUS eingebaut, hier wird jedoch wieder mit Klar-Text-Passwörtern gearbeitet -> potentiell unsicher.
Daher, wenn man zuhause bereits einen kleinen Server hat, lohnt es sich noch einen RADIUS aufzusetzen. Dann bietet sich noch an, mit 2 SSID zu arbeiten. Eine private und eine für Gäste, die nur ins Internet darf, evtl über ein OTP oder ein Token. (gibt da nette Spielerein)