Přejít k hlavnímu obsahu

Bezpečnost veřejné Wi-Fi: Chraňte se v otevřených sítích

Jak být v bezpečí na veřejné Wi-Fi. Skutečná rizika otevřených sítí, jak je útočníci zneužívají, a nástroje, které chrání vaše data.

Naposledy aktualizováno: 5. dubna 2026

Bezplatná Wi-Fi v kavárnách, na letištích, v hotelech a knihovnách je pohodlná — a opravdu nebezpečná. Veřejné sítě jsou ze své podstaty nezabezpečené: sdílejí se s cizími lidmi, často postrádají šifrování a útočníkům dávají snadný přístup k monitorování či zachycení vašeho provozu. Průzkumy odvětví opakovaně zjišťují, že přibližně čtvrtina veřejných Wi-Fi hotspotů nepoužívá vůbec žádné šifrování, a i šifrované veřejné sítě sdílejí heslo se všemi připojenými uživateli. Tento průvodce popisuje skutečná rizika veřejné Wi-Fi, konkrétní útoky, vůči nimž jste zranitelní, a praktické kroky, jak se chránit — včetně toho, proč je VPN nejúčinnější jednotlivé opatření.

Rizika veřejné Wi-Fi

Útoky Man-in-the-Middle (MITM)

Při útoku MITM se útočník usadí mezi vaše zařízení a Wi-Fi přístupový bod a zachycuje veškerý provoz. V nešifrované síti může číst e-maily, získávat přihlašovací údaje, vidět finanční transakce a měnit webový obsah v reálném čase. Dokonce i u HTTPS webů mohou pokročilé útoky MITM nástroji jako SSLstrip připojení degradovat. VPN činí útoky MITM neúčinnými, protože veškerý váš provoz je šifrován ještě před opuštěním zařízení.

Útoky Evil Twin (Zlý dvojník)

Útočník vytvoří falešný Wi-Fi hotspot se stejným názvem jako legitimní — „Starbucks_WiFi" nebo „Airport_Free" — a čeká, až se zařízení automaticky připojí. Po připojení prochází veškerý váš provoz zařízením útočníka, který má kompletní přehled o všem, co děláte online. Telefon se může připojit ke zlým dvojníkům automaticky, pokud jste se dříve připojili k síti se stejným názvem. Tyto útoky lze snadno provést pomocí volně dostupných nástrojů.

Odposlech paketů

V otevřených (nešifrovaných) Wi-Fi sítích může kdokoli s volně dostupnými nástroji jako Wireshark zachytit a číst veškerý síťový provoz. To zahrnuje nešifrované HTTP požadavky, obsah e-mailů, přihlašovací údaje FTP a DNS dotazy, které prozrazují, jaké weby navštěvujete. Zatímco HTTPS chrání obsah zabezpečených spojení, odposlech paketů stále odhalí metadata — jaké domény, kdy a jak často. VPN šifruje všechny pakety, takže odposlechnutá data jsou zcela nečitelná.

Únos relace (Sidejacking)

Po přihlášení na web prohlížeč ukládá session cookie, která vás udržuje přihlášené. Na veřejné Wi-Fi může útočník zachytit tuto cookie pomocí odposlechu paketů a vydávat se za vás — přistupovat k vašemu e-mailu, sociálním sítím nebo jiným účtům bez znalosti hesla. Přestože HTTPS cookies jsou při přenosu chráněné, ne všechny weby je správně označují jako secure-only. Únos relace je obzvláště účinný v sítích, kde má útočník MITM pozici.

Distribuce malwaru

Útočníci ve stejné veřejné síti mohou zneužít zranitelnosti v protokolech pro sdílení souborů, vkládat škodlivý obsah do nešifrovaných webových stránek nebo posílat falešné výzvy k aktualizaci softwaru. Pokud má vaše zařízení zapnuté sdílení souborů nebo AirDrop, mohou útočníci posílat škodlivé soubory přímo. Některé pokročilé útoky využívají kompromitované routery k vkládání JavaScriptových těžařů nebo přesměrování stahování na malwarem nakažené verze. Udržujte OS a aplikace aktualizované, vypněte sdílení souborů na veřejných sítích a nikdy nepřijímejte neočekávané přenosy souborů.

Jak se chránit

Veřejná Wi-Fi nemusí být nebezpečná, pokud učiníte správná opatření. Těchto šest kroků výrazně snižuje vaše riziko v jakékoli otevřené síti:

  1. Používejte VPN — nejúčinnější jednotlivý krok. VPN šifruje veškerý provoz opouštějící vaše zařízení a činí jej nečitelným pro kohokoli v síti. I když útočník zachytí vaše pakety, vidí pouze šifrovaná data. Zapněte VPN před připojením k Wi-Fi a používejte funkci kill switch pro blokování provozu při výpadku VPN. Proton VPN i NordVPN nabízejí auto-connect pro nedůvěryhodné sítě.
  2. Ověřujte HTTPS na každém webu — hledejte ikonu zámku v adresním řádku prohlížeče. Nikdy nezadávejte hesla, platební údaje ani osobní data na HTTP stránkách (nikoli HTTPS). Zvažte instalaci rozšíření HTTPS Everywhere nebo zapnutí režimu HTTPS-only ve vašem prohlížeči. HTTPS šifruje spojení mezi prohlížečem a webem, VPN poskytuje širší ochranu pro všechny aplikace.
  3. Vypněte automatické připojení k Wi-Fi sítím v nastavení zařízení. Zabráníte tím tomu, aby se váš telefon nebo notebook automaticky přihlašoval k dříve známým názvům sítí — což mohou být zlí dvojníci. Na iOS: Nastavení > Wi-Fi a vypněte Automatické připojení pro veřejné sítě. Na Androidu: Nastavení > Síť > Předvolby Wi-Fi a vypněte automatické opětovné připojení.
  4. Zapomeňte veřejné Wi-Fi sítě po použití. Vaše zařízení si pamatuje sítě, ke kterým jste se připojili, a automaticky se připojí, když se octnete v dosahu. Přejděte do seznamu uložených sítí a odeberte všechny veřejné hotspoty — kavárny, letiště, hotely. Tím zabráníte tomu, aby se zařízení připojovalo k sítím, které explicitně nevybíráte.
  5. Aktivujte firewall operačního systému a vypněte sdílení souborů. Na macOS: Nastavení systému > Síť > Firewall a zapněte jej. Na Windows: ujistěte se, že je Windows Defender Firewall aktivní. Vypněte AirDrop, Sdílení v okolí a všechny funkce objevování sítě na veřejných sítích. Tyto funkce jsou navrženy pro důvěryhodné sítě a na veřejných vytvářejí útočné plochy.
  6. Zapněte dvoufaktorové ověřování u všech důležitých účtů. I když útočník zachytí vaše heslo na veřejné Wi-Fi, 2FA jim zabrání v přístupu bez druhého faktoru. Používejte authenticator aplikaci (Google Authenticator, Authy) místo SMS. Pro nastavení viz náš průvodce 2FA.

Proč je VPN na veřejné Wi-Fi zásadní

VPN je nejúčinnější jednotlivý nástroj pro bezpečnost na veřejné Wi-Fi. Šifruje veškerý provoz mezi vaším zařízením a serverem VPN pomocí AES-256 (nebo ChaCha20-Poly1305 s WireGuard) — tytéž algoritmy, které chrání HTTPS a TLS 1.3, výrazně nad jakoukoli rozumnou hrozbu hrubou silou. Tímto jediným krokem neutralizuje útoky MITM, odposlech paketů a únos relace. Moderní VPN jako Proton VPN a NordVPN obsahují kill switche, které blokují veškerý internetový provoz, pokud spojení VPN spadne — brání i krátkodobému vystavení. Funkce auto-connect dokáže aktivovat VPN, kdykoli se připojíte k nedůvěryhodné síti. Pro nejlepší ochranu vyberte VPN s podporou WireGuard (nejrychlejší), auditovanou no-logs politikou a ochranou proti úniku DNS.

  • Šifruje veškerý provoz pomocí AES-256 nebo ChaCha20, takže data jsou ve sdílených sítích nečitelná
  • Kill switch blokuje veškerý provoz při výpadku VPN, brání krátkodobému vystavení
  • Auto-connect aktivuje VPN při připojení k nedůvěryhodným sítím
  • Ochrana proti úniku DNS udržuje DNS dotazy uvnitř šifrovaného tunelu

Mýty o veřejné Wi-Fi

„HTTPS dělá veřejnou Wi-Fi bezpečnou"

HTTPS šifruje spojení mezi vaším prohlížečem a konkrétním webem, ale nechrání veškerý váš provoz. DNS dotazy často cestují nešifrovaně a odhalují, jaké weby navštěvujete. Jiné aplikace ve vašem zařízení mohou používat nešifrované protokoly. HTTPS nezabrání útočníkovi vidět metadata připojení ani zachytit provoz z ne-HTTPS služeb. VPN poskytuje komplexní ochranu, kterou samotné HTTPS nedokáže.

„Heslem chráněná Wi-Fi je bezpečná"

Wi-Fi heslo brání neoprávněným osobám v připojení k síti, ale všichni, kdo heslo mají, sdílejí stejný šifrovací klíč. Na sítích WPA2-Personal (typ používaný na většině veřejných místech) může kdokoli s heslem dešifrovat provoz ostatních uživatelů. Ani sítě WPA3, ač vylepšené, plně nechrání před dalšími autentizovanými uživateli ve stejné síti. Heslo udržuje cizí lidi venku — nechrání vás před insidery.

„Na veřejné Wi-Fi nemám nic, co by stálo za krádež"

Možná nezadáváte čísla platebních karet, ale útoky na veřejné Wi-Fi zachytávají mnohem víc než finanční data. Přihlašovací údaje k e-mailu útočníkům umožňují resetovat hesla u všech propojených účtů. Přihlášení k sociálním sítím umožňuje vydávání se za vás a sociální inženýrství. Session cookies umožňují přístup bez hesla. Historie a DNS dotazy odhalují osobní zájmy, zdravotní obavy a politické názory. I zdánlivě nevinná data získávají hodnotu při agregaci. Každý má něco, co stojí za to chránit.

Závěr

Veřejná Wi-Fi je ze své podstaty nezabezpečená, ale nemusíte se jí vyhýbat — stačí ji používat moudře. VPN je nejdůležitější jednotlivý nástroj pro bezpečnost na veřejné Wi-Fi: šifruje veškerý váš provoz a neutralizuje nejběžnější útoky. Zkombinujte ji s povědomím o HTTPS, vypnutým auto-connectem, 2FA u důležitých účtů a základní síťovou hygienou a můžete s důvěrou používat libovolnou Wi-Fi síť. Skutečné nebezpečí není veřejná Wi-Fi sama o sobě — ale její používání bez ochrany.

Často kladené otázky

Ano, VPN výrazně zvyšuje bezpečnost veřejné Wi-Fi. Šifruje veškerý provoz opouštějící vaše zařízení a brání komukoli v síti číst vaše data. S aktivní VPN se útoky MITM, odposlech paketů a krádež relací stávají neúčinnými, protože útočník vidí pouze zašifrovaná data. Pro maximální ochranu zapněte VPN před připojením k veřejné síti a nechte aktivní kill switch, aby se zabránilo úniku, pokud se VPN krátce odpojí.

Ano, veřejná Wi-Fi vás vystavuje několika vektorům útoku. Bez ochrany mohou útočníci ve stejné síti zachytávat nešifrovaný provoz, získávat přihlašovací údaje, krást cookies relace a doručovat malware na vaše zařízení. Riziko je nejvyšší v otevřených sítích (bez hesla), ale i veřejné sítě chráněné heslem jsou zranitelné, protože všichni uživatelé sdílejí stejný klíč. Použití VPN, aktualizovaný software a dodržení kroků níže snižuje riziko téměř na nulu.

Pokud nemáte VPN, používání mobilních dat (4G/5G) je výrazně bezpečnější než veřejná Wi-Fi. Mobilní spojení je šifrované mezi telefonem a vysílačem a každý uživatel má vlastní šifrovaný kanál — na rozdíl od sdílené Wi-Fi. Operátor přesto může vidět vaši aktivitu při prohlížení. Ideální řešení je používat jakoukoli dostupnou síť (včetně veřejné Wi-Fi) s VPN, která poskytuje silné šifrování bez ohledu na typ připojení.

Bez VPN se nepřihlašujte do e-mailu, bankovnictví ani jiných účtů s citlivými informacemi. Nezadávejte čísla platebních karet, rodná čísla ani jiné osobní údaje. Vyhněte se přístupu k pracovním zdrojům a firemním účtům. Nestahujte soubory ani nepřijímejte výzvy k aktualizaci softwaru. Nepřistupujte na HTTP weby (nikoli HTTPS). Stručně: pokud byste to nenapsali na pohlednici pro cizince, nepřenášejte to přes nechráněnou veřejnou Wi-Fi.

Režim Letadlo vypíná všechny bezdrátové rádia včetně Wi-Fi, takže ano — pokud je Wi-Fi vypnutá, nemůžete být napadeni přes Wi-Fi. Na většině zařízení však můžete v režimu Letadlo Wi-Fi znovu zapnout, čímž ochranu obejdete a pouze zablokujete mobilní data. Režim Letadlo není praktický bezpečnostní nástroj — jen vás odpojí od všeho. VPN je lepší řešení, protože vám umožňuje zůstat bezpečně připojeni.

Hotelové Wi-Fi sítě jsou veřejné sítě se stejnými riziky jako kterákoli jiná veřejná Wi-Fi — jen působí bezpečněji, protože jste v soukromém pokoji. Síť je sdílena se všemi hosty, personálem a všemi, kdo získají heslo. Některé hotely používají zastaralé síťové zařízení se známými zranitelnostmi. Obchodní cestující jsou cíleně napadáni, protože jejich zařízení často obsahují cenná firemní data. Na hotelové Wi-Fi vždy používejte VPN a zacházejte s ní se stejnou opatrností jako se sítí v kavárně nebo na letišti.