Přeskočit na obsah
OwlGuardScore

Veřejná Wi-Fi — jak ji používat bezpečně

Kavárna, hotel, letiště. Co dělat, abys nevyzradil nic ostatním na síti.

Co to je

Veřejná Wi-Fi je sdílená síť — všichni připojení vidí (na různých vrstvách) provoz ostatních. Cokoli, co posíláš nezašifrovaně, může číst jakýkoli další uživatel té samé sítě (sniffing). Útočník navíc může postavit falešnou Wi-Fi se stejným jménem jako legitimní („Evil twin") a tvůj telefon se k ní automaticky připojí.

Proč to záleží

Pokud používáš HTTPS (zámek v prohlížeči), tvoje data jsou šifrovaná na cestě a útočník je nepřečte — i na veřejné Wi-Fi. Pro citlivé operace (firemní systémy, banking přes web) zvaž VPN. Důležitý detail: vypni „automatické připojení k známým sítím" — útočník může napodobit jméno tvé domácí nebo firemní sítě a tvůj telefon se ozve sám.

Jak útok funguje

Veřejnou Wi-Fi útočník zneužije několika způsoby:

  • Sniffing — pasivní odposlech provozu na sdílené síti. Cokoli, co posíláš nezašifrovaně (HTTP místo HTTPS, neukrytá API volání starých aplikací, DNS dotazy), si útočník přečte ze své karty v promiskuitním režimu. Dnes je drtivá většina webu HTTPS, ale starší IoT zařízení, některé hotelové portály a běžné aplikace občas tečou v plain textu.
  • Evil Twin — útočník postaví vlastní Wi-Fi access point se stejným jménem jako legitimní síť (Free_WiFi_Kavarna, Letiste_Praha_Free, Hotel_WiFi). Telefony, které se v minulosti připojily k podobné síti, se automaticky připojí — a všechen provoz prochází přes útočníkův router. Útok je triviální: pocket-size zařízení za $50 + ESP32 + open source software.
  • Captive portal phishing — když se připojíš k hotelové/letištní Wi-Fi, často musíš vyplnit přihlašovací formulář. Útočník postaví falešný captive portal, který vyžaduje stejné údaje jako tvůj e-mail / banka / hotelová rezervace. Lidé tam vyplní reálné heslo (protože "to už chtěla po mně i ta minulá Wi-Fi").
  • SSL stripping — útočník zachytí tvoje HTTPS pokusy a "downgraduje" je na HTTP. Dnes se proti tomu chrání HSTS preload list (browser ví, že stránka má jen HTTPS), ale starší aplikace a some random e-shop jsou stále zranitelné.
  • DNS hijacking — útočníkův AP odpovídá na DNS dotazy podvrženými IP adresami. csas.cz → IP útočníka místo pravé banky. Pokud certifikát nesedí (HTTPS), browser tě varuje. Pokud klepneš "pokračovat dál i tak" (protože "to už tak děláš"), je po hře.

Co si o tobě útočník při úspěchu odnese:

  • Hesla na nezašifrovaných stránkách (vzácné dnes, ale existuje).
  • Session cookies (pokud nemáš HTTPS-only) → přihlášení do tvých účtů bez znalosti hesla.
  • Metadata: jaké stránky navštěvuješ, kdy, jak často (DNS log).
  • V krajním případě: malware injection do nezašifrovaného webu.

Jak se chránit

Pravidla "co dělat na veřejné Wi-Fi":

  1. HTTPS všude — kontroluj zámek v prohlížeči. Pokud stránka, kterou znáš jako HTTPS, najednou není (nebo browser varuje), zavři ji okamžitě.
  2. Captive portál (přihlašovací formulář k Wi-Fi) — vyplň jen jméno + e-mail jen pokud tě o to opravdu žádají. NIKDY pravé heslo k e-mailu / bance. Klidně si vytvoř burner e-mail jen pro Wi-Fi portály.
  3. Vypni automatické připojení k známým sítím:
    • iPhone: Nastavení → Wi-Fi → klepni na "i" u sítě → "Auto-Join" off.
    • Android: Nastavení → Wi-Fi → dlouhý stisk sítě → "Forget" pro veřejné, jinak Network details → Auto-reconnect off.
  4. VPN pro citlivé úkony (banking přes web, firemní systémy, intimní e-maily). Doporučení: Mullvad, ProtonVPN, IVPN — placené, žádné free Lifehack VPN.
  5. Banking přes mobilní aplikaci, ne přes web v prohlížeči. Aplikace má vlastní certifikát-pinning a obvykle neakceptuje proxy útok.
  6. Bluetooth a AirDrop — vypni, pokud je nepoužíváš. Útočník na stejné síti často znamená "ve stejné kavárně" → fyzický dosah Bluetooth.

Když fakt potřebuješ pracovat na veřejné Wi-Fi:

  • Mobilní hotspot z vlastního telefonu (3G/4G/5G) je BEZPEČNĚJŠÍ než kavárenská Wi-Fi. Operátorské sítě nejsou útočníkovi přístupné.
  • eSIM s lokální datou při cestování — pár dolarů za den, kompletně mimo veřejnou Wi-Fi infrastrukturu.
  • Hotelová Wi-Fi je v podstatě sdílená — chovej se k ní jako k veřejné kavárně.

Po návratu domů (po nedůvěryhodné Wi-Fi):

  • Restart zařízení (vyčistí podezřelý cache, DNS).
  • Změň hesla, která jsi tam zadával — preventivně.
  • Zkontroluj posledních pár přihlášení v Gmailu / banking aplikaci.

Časté mýty

  • Mýtus"Stačí mi vypnout sdílení souborů a jsem v bezpečí."

    RealitaSdílení souborů je jen jedna vrstva. Hlavní riziko na veřejné Wi-Fi není někdo, kdo ti připojí flashku — je to útočník, který odposlouchává tvůj provoz nebo postaví Evil Twin. Vypnout sdílení = OK. Spoléhat se jen na to = chyba. Realny štít je HTTPS + vypnutý auto-connect + VPN pro citlivé úkony.

  • Mýtus"VPN je nutnost na každé veřejné Wi-Fi."

    RealitaVPN je užitečná, ale méně kritická než dřív. Drtivá většina webu je dnes HTTPS, certifikáty se kontrolují, HSTS chrání před SSL stripingem. VPN zakrývá metadata (kam chodíš) a chrání před cíleným útokem na sebe, ale pro běžné e-commerce a sociální sítě na veřejné Wi-Fi je dostatečné samotné HTTPS + vypnutý auto-connect. **Banking výjimka: tam VPN nebo mobilní data ANO.**

  • Mýtus"Hotelová Wi-Fi je bezpečnější než kavárna."

    RealitaNení. Hotelová Wi-Fi je technicky stejně sdílená síť jako kavárna — všichni hosté + zaměstnanci + útočník v lobby vidí tvůj provoz. Hotelová síť navíc často provozuje hotelový dodavatel s nešťastným nastavením, takže si dáš ještě i evil-twin attack zdarma. Použij vlastní mobilní hotspot, kdykoli je to možné.

Quick checklist

Před odjezdem / před tím, než půjdeš pracovat do kavárny:

  • Mám zaplacenou VPN (Mullvad / ProtonVPN / IVPN)? Aspoň pro banking a citlivou práci.
  • Mobilní data / eSIM pro krajní případ?
  • Telefon má vypnuté auto-connect k veřejným Wi-Fi?

Na místě:

  • Připojuji se k oficiální Wi-Fi (název ověřit u baristy / recepční), ne random "Free_WiFi"?
  • Banking jen přes mobilní aplikaci, ne přes web v prohlížeči.
  • V prohlížeči vidím zámek (HTTPS) u všech stránek?
  • Pokud captive portal žádá víc než e-mail, mizím.

Po návratu / po cestě:

  • Změnit hesla u účtů, do kterých jsem se z veřejné Wi-Fi přihlašoval (preventivně, hlavně banking a primární e-mail).
  • Zkontrolovat poslední přihlášení v Gmailu / iCloud / banking.
  • "Forget" veřejné sítě v Nastavení Wi-Fi, ať se k nim telefon nepřipojuje sám příště.

Podobná témata

Souvisí s kategoriemi v testu: Domácí WiFi a router

Jaký byl tenhle článek?

Reakce jsou anonymní — pomáhají nám psát další články líp.

Najdeš chybu nebo máš dotaz? Napiš nám.