Proč je domácí Wi‑Fi častým cílem útoků
Domácí router je dnes brána k internetu pro telefony, notebooky, chytré televize, kamery, tiskárny i chytrou domácnost. Pokud se útočník dostane do Wi‑Fi sítě, často nemusí prolomit jednotlivá zařízení – stačí mu síťová pozice. Může odposlouchávat provoz, zkoušet útoky na přihlášení k dalším službám nebo zneužít zařízení s výchozím heslem.
Podle běžné praxe bezpečnostních auditů bývají nejčastější problémy jednoduché: výchozí administrátorské údaje, slabé Wi‑Fi heslo, starý firmware a otevřená správa routeru z internetu. V domácím prostředí je navíc riziko vyšší tím, že lidé router po instalaci roky nekontrolují. Přitom právě router je často nejdůležitější bezpečnostní bod celé domácnosti.
Základní nastavení routeru, které musíte změnit hned
První krok je vždy přihlášení do administrace routeru a kontrola základních bezpečnostních parametrů. Pokud jste router nikdy nenastavovali ručně, je velmi pravděpodobné, že část nastavení je stále na výrobních hodnotách.
- Změňte administrátorské heslo routeru. Nepoužívejte heslo typu admin/admin, 12345678 ani stejné heslo jako do Wi‑Fi.
- Vypněte vzdálenou správu z internetu. Administrace routeru má být dostupná jen z vaší domácí sítě, ne z veřejné IP adresy.
- Aktualizujte firmware. U moderních routerů hledejte sekci „Firmware update“ nebo „Aktualizace systému“. Někteří výrobci vydávají opravy bezpečnosti několikrát ročně.
- Zkontrolujte výchozí název sítě (SSID). Název by neměl prozrazovat model routeru ani vaši adresu či příjmení.
Praktický příklad: pokud váš router umožňuje automatické aktualizace, zapněte je. U starších modelů je vhodné kontrolovat dostupnost nového firmwaru alespoň jednou za 2–3 měsíce. Pokud výrobce už aktualizace nevydává, je to signál k výměně zařízení.
Silné heslo a správná šifrovací metoda rozhodují
Nejčastější průnik do domácí Wi‑Fi není sofistikovaný hackerský útok, ale prolomení slabého hesla pomocí slovníkových nebo brute-force metod. Bezpečné heslo pro Wi‑Fi by mělo mít minimálně 16 znaků, ideálně 20 a více, a obsahovat kombinaci velkých a malých písmen, číslic i speciálních znaků. Důležitější než „složitost“ je ale délka a jedinečnost.
Pokud router podporuje pouze starší zabezpečení, zkontrolujte, zda není aktivní WEP nebo WPA. Tyto standardy jsou dnes považované za nevyhovující. Minimem je WPA2-AES, ideálně WPA3-Personal. Pokud máte možnost, zvolte WPA3, protože lépe chrání proti offline útokům na heslo.
- Vyhněte se WPS. Funkce rychlého párování přes tlačítko nebo PIN je v mnoha případech bezpečnostní slabina.
- Nepoužívejte stejné heslo jinde. Únik hesla z jiné služby by pak ohrozil i vaši síť.
- Uložte heslo do správce hesel. Nástroje jako Bitwarden, 1Password nebo KeePass vám umožní dlouhé a unikátní heslo bez nutnosti si ho pamatovat.
Pokud máte doma hosty nebo chytrá zařízení od méně důvěryhodných výrobců, je vhodné vytvořit samostatnou síť pro návštěvy. Tím snížíte riziko, že se někdo dostane k vašim hlavním zařízením, například notebooku nebo NAS úložišti.
Oddělte zařízení do více sítí a omezte, co se může připojit
Moderní routery často umožňují vytvořit guest Wi‑Fi nebo oddělenou síť pro IoT zařízení. To je z hlediska bezpečnosti velmi důležité, protože chytré žárovky, kamery nebo zásuvky bývají méně zabezpečené než telefon nebo pracovní notebook. Pokud jedno zařízení selže, útočník se nedostane automaticky ke všem ostatním.
Ideální model pro domácnost je jednoduchý:
- Hlavní síť pro notebooky, telefony a pracovní zařízení.
- Guest síť pro návštěvy a dočasná zařízení.
- IoT síť pro televize, kamery, robotické vysavače a další chytrou domácnost.
V routeru hledejte nastavení jako AP isolation, client isolation nebo access control. Pokud je zapnete, zařízení v jedné síti se nebudou vzájemně vidět, což snižuje riziko laterálního pohybu útočníka. U pokročilejších modelů lze nastavit i pravidla firewallu, například zablokovat IoT zařízení přístup k lokálnímu NASu nebo tiskárně.
Prakticky: pokud máte chytrou televizi, která potřebuje internet, ale nepotřebuje přístup k vašemu pracovnímu notebooku, dejte ji na samostatnou síť. Tím výrazně omezíte dopady případné zranitelnosti v její aplikaci nebo firmwaru.
Aktualizace, monitoring a kontrola připojených zařízení
Bezpečnost Wi‑Fi není jednorázové nastavení, ale průběžná údržba. Router, telefon i notebook by měly být pravidelně aktualizované. U routeru sledujte nejen firmware, ale také seznam připojených zařízení. Pokud se v administraci objeví neznámé zařízení, je to důvod k okamžité kontrole.
Co kontrolovat nejméně jednou měsíčně:
- seznam připojených zařízení a jejich MAC adresy,
- stav šifrování Wi‑Fi,
- zapnutí nebo vypnutí WPS,
- logy přihlášení do administrace,
- aktuální verzi firmwaru.
Pro kontrolu kvality sítě a bezpečnosti můžete využít například aplikaci Fing, která v telefonu zobrazí zařízení v síti, jejich IP adresy a často i výrobce podle MAC adresy. Na notebooku lze použít i nástroje jako nmap pro pokročilejší audit, například zjištění otevřených portů u vlastních zařízení. Pokud si nejste jistí, co je normální, porovnejte seznam s reálnými zařízeními, která máte doma.
Užitečné je také nastavit si upozornění na změny hesel nebo přihlášení do routeru, pokud to model podporuje. Některé moderní routery umí poslat notifikaci do aplikace při novém připojení zařízení nebo při změně konfigurace.
Jak snížit riziko i mimo samotnou Wi‑Fi
I dokonale nastavená Wi‑Fi je jen část bezpečnosti. Útočník se často dostane dovnitř přes slabé zařízení nebo nebezpečnou aplikaci. Proto má smysl přemýšlet o celé domácí síti jako o systému, ne jen o hesle k internetu.
- Zapněte firewall na routeru i na počítačích.
- Vypněte sdílení souborů tam, kde ho nepotřebujete.
- Používejte VPN na veřejných sítích, ne doma jako náhradu zabezpečené Wi‑Fi.
- U chytrých zařízení změňte výchozí hesla hned po instalaci.
- Pravidelně zálohujte důležitá data, ideálně do externího úložiště nebo cloudu s dvoufaktorovým ověřením.
Pokud používáte domácí NAS, IP kamery nebo vzdálený přístup k pracovnímu počítači, zvažte dvoufaktorové ověření všude, kde je dostupné. U účtů od poskytovatelů internetu, e-mailu nebo správy routeru je 2FA často nejlevnější a přitom velmi účinný způsob, jak snížit riziko převzetí účtu.
Silná domácí Wi‑Fi není o jednom „triku“, ale o souboru správných návyků: moderní šifrování, dlouhé jedinečné heslo, aktualizovaný firmware, oddělené sítě a pravidelná kontrola zařízení. Kdo tyto kroky dodržuje, výrazně snižuje šanci, že se domácí síť stane snadným cílem.