Proč je veřejná Wi‑Fi zranitelná už ze své podstaty
Veřejná Wi‑Fi v kavárně, hotelu nebo na letišti je typicky otevřená síť sdílená desítkami až stovkami lidí. To znamená dvě věci: provoz prochází přes stejný přístupový bod a správce sítě často nemá důvod ani kapacitu nastavovat přísnou segmentaci. Pokud není komunikace dobře šifrovaná, může kdokoli v dosahu zachytit část provozu nebo se pokusit o aktivní útok.
Podle bezpečnostních analýz je problém hlavně v tom, že uživatelé se připojují automaticky a bez ověření. Zařízení si pamatuje názvy sítí, a pokud se v okolí objeví falešný hotspot se stejným názvem, telefon nebo notebook se k němu může připojit bez varování. To je přesně moment, kdy útočník získá možnost sledovat provoz, přesměrovávat uživatele nebo vkládat škodlivý obsah do nešifrovaných stránek.
Nejčastější útoky: odposlech, falešný hotspot a man-in-the-middle
Nejjednodušší scénář je pasivní odposlech. Pokud někdo používá nezabezpečený protokol nebo špatně nastavenou aplikaci, útočník může zachytit citlivá data jako přihlašovací údaje, cookies nebo metadata o navštívených stránkách. Dnes je většina webu na HTTPS, ale to neznamená, že jste automaticky v bezpečí — stále lze sledovat, k jakým doménám se připojujete, a u některých služeb zneužít slabé nastavení nebo falešné certifikáty.
Další častý problém je evil twin, tedy falešný přístupový bod s názvem velmi podobným originálu. Například kavárna „Cafe_Free_WiFi“ může mít vedle sebe síť „Cafe Free WiFi“ bez diakritiky nebo s drobnou změnou. Pokud je signál silnější než u legitimní sítě, zařízení se může připojit právě tam. Útočník pak může zobrazit vlastní přihlašovací stránku, sbírat data nebo přesměrovávat provoz přes svůj server.
Třetí typ je man-in-the-middle útok. Ten se snaží postavit útočníka mezi vás a cílový web. V praxi to může znamenat podvržený DNS server, přesměrování na falešný web nebo zachytávání nezabezpečené komunikace. Uživatel si často všimne až pozdě, například když mu přestane fungovat bankovnictví, objeví se varování certifikátu nebo je přihlášení najednou „podezřele“ pomalé.
Co útočník skutečně vidí a co už ne
Dobrá zpráva je, že moderní HTTPS chrání obsah většiny webové komunikace. Špatná zpráva: útočník stále může vidět řadu užitečných informací. Typicky doménu, IP adresu, čas připojení, objem dat, někdy i SNI metadata a z toho odvodit, jaké služby používáte. Pokud používáte nešifrované protokoly nebo aplikace bez správného zabezpečení, riziko se výrazně zvyšuje.
Praktický příklad: otevřete e-mailového klienta, který se připojuje přes nezabezpečené nebo špatně ověřené API. Útočník nezíská nutně celé zprávy, ale může zachytit session token nebo přihlašovací pokus. Jakmile získá token, může se vydávat za vás bez znalosti hesla. Stejně nebezpečné je přihlášení do administrace webu, CRM, cloudového úložiště nebo firemního VPN portálu přes veřejnou síť bez ochrany zařízení.
Za zmínku stojí i riziko u dvoufaktorového ověřování. Pokud útočník získá přístup k vašemu e-mailu nebo session cookie, může obejít část ochrany. Proto je důležité nejen mít 2FA, ale také hlídat, na jakém zařízení a v jaké síti se přihlašujete.
Jak poznat podezřelou Wi‑Fi síť ještě před připojením
Neexistuje stoprocentní vizuální kontrola, ale několik signálů je velmi varovných. Před připojením si všímejte názvu sítě, síly signálu a toho, zda je potřeba přihlášení přes webovou stránku. Podvodné hotspoty často používají názvy typu „Free WiFi“, „Guest“, „CoffeeShop_WiFi“ nebo kopírují značku podniku s malou změnou. Pokud vidíte dvě téměř stejné sítě, je na místě opatrnost.
- Zkontrolujte přesný název sítě u personálu, ne pouze podle cedule v kavárně.
- Vypněte automatické připojování k otevřeným sítím v telefonu i notebooku.
- Sledujte varování certifikátu v prohlížeči — nikdy je neignorujte.
- Ověřte, zda se přihlašujete přes HTTPS; bez něj je komunikace zranitelná.
- Použijte mobilní data, pokud jde o banku, práci s citlivými daty nebo administraci webu.
Velmi užitečný nástroj pro rychlou kontrolu je WiFiman nebo NetSpot, které ukážou okolní sítě, sílu signálu a pomohou odhalit podezřelé duplikáty. Pro pokročilejší uživatele je vhodný Wireshark, se kterým lze analyzovat provoz a zjistit, zda síť nepřesměrovává DNS nebo nevykazuje anomálie. Na notebooku s Windows se dá rychle ověřit i seznam známých sítí a vypnout jejich automatické připojování.
Jak se chránit v praxi: zařízení, prohlížeč i VPN
Nejlepší obrana není jediný nástroj, ale kombinace několika vrstev. Základ je mít aktuální operační systém, prohlížeč a aplikace. Zastaralé verze obsahují zranitelnosti, které lze zneužít i bez toho, aby útočník prolomil samotnou Wi‑Fi. Důležité je také používat silná, unikátní hesla v password manageru, například Bitwarden, 1Password nebo KeePass, a nikde je nezadávat na stránkách bez HTTPS.
VPN je na veřejné Wi‑Fi velmi užitečná, ale není kouzelná hůlka. Chrání provoz mezi vaším zařízením a VPN serverem, takže útočník na lokální síti neuvidí obsah komunikace. Musíte ale zvolit ověřenou službu s podporou moderních protokolů, jako je WireGuard nebo OpenVPN. Vyhněte se bezplatným VPN, které sbírají data nebo mají slabé zabezpečení. Důležité je také zapnout kill switch, aby při výpadku VPN neunikal provoz mimo tunel.
Na úrovni zařízení pomáhá:
- vypnout sdílení souborů a AirDrop/nearby sharing pro veřejné sítě,
- zakázat automatické připojování k otevřeným Wi‑Fi,
- používat firemní VPN při práci s interními systémy,
- zapnout firewall na notebooku,
- odhlásit se po práci z administrací, CMS a cloudových nástrojů.
Pokud spravujete web nebo e-shop, nikdy nepřistupujte do WordPressu, administrace hostingu, Google Analytics, Search Console nebo reklamních systémů přes neověřenou síť bez VPN. U přihlašování do redakčních a administračních nástrojů totiž často stačí jeden odcizený session token a útočník získá přístup bez dalšího ověření.
Co by měli dělat majitelé webů, marketéři a týmy v kanceláři
Bezpečnost veřejné Wi‑Fi není jen téma pro jednotlivce. Firmy by měly mít jasnou politiku, co je dovoleno na cestách a v kavárnách, a co už ne. Praktické minimum je školení zaměstnanců o phishingu, falešných hotspotů a používání VPN. U citlivých rolí, jako jsou správci webu, PPC specialisté nebo účetní, je vhodné vynutit přístup přes firemní VPN a dvoufaktorové ověřování pomocí aplikace, ne SMS.
Pro webové projekty má smysl kontrolovat, zda všechny administrace, API a přihlašovací rozhraní používají moderní ochrany: HTTPS, HSTS, krátké session, správně nastavené cookies s atributy Secure a HttpOnly. Pokud spravujete větší web nebo e-commerce, zvažte také podmíněný přístup podle zařízení, geografické lokace a rizikovosti přihlášení. Tím snížíte dopad situace, kdy se někdo pokusí přihlásit z cizí sítě nebo z nového zařízení.
V praxi funguje jednoduché pravidlo: na veřejné Wi‑Fi dělejte jen to, co by nevadilo zveřejnit, kdyby někdo viděl část vašeho provozu. Pro běžné čtení novinek je riziko nižší, ale jakmile jde o bankovnictví, administraci, firemní data nebo citlivé osobní informace, veřejná síť je špatná volba. Nejbezpečnější řešení je mobilní hotspot, ověřená VPN a vypnuté automatické připojování k neznámým sítím.
