Dlaczego publiczne WiFi jest ryzykowne
Domowe WiFi to zamknięta sieć - znasz hasło, znasz urządzenia, ruch jest szyfrowany. Publiczne WiFi to coś innego. Sieć otwarta (bez hasła) nie szyfruje niczego między twoim laptopem a routerem. Każdy w zasięgu może podsłuchiwać ruch przy użyciu darmowego oprogramowania typu Wireshark.
Sieci z hasłem (te w kawiarni, gdzie hasło jest na kartce przy kasie) są trochę lepsze - szyfrują ruch WPA2 lub WPA3. Ale hasło zna każdy gość. To jak zamek, do którego wszyscy mają klucz.
Największy problem to nie samo podsłuchiwanie. To fałszywe sieci.
Jak wyglądają ataki na publicznym WiFi
Fałszywy punkt dostępowy (Evil Twin)
Atakujący stawia własny router o nazwie „Starbucks_Free_WiFi" lub „Hotel_Guest". Twój telefon łączy się automatycznie, bo nazwa wygląda wiarygodnie. Cały ruch przechodzi przez urządzenie atakującego - widzi wszystko, co robisz. Nie potrzebuje żadnych zaawansowanych narzędzi. Laptop i hotspot wystarczą.
Atak pośrednika (man-in-the-middle)
Atakujący wchodzi między twoje urządzenie a router. Nie tworzy fałszywej sieci - infiltruje prawdziwą. Może podmieniać treść stron (np. wstrzyknąć złośliwy kod do pobranego pliku), przekierowywać na podrobione strony logowania albo przechwytywać niezaszyfrowane dane. Przy otwartej sieci to kwestia minut.
Podsłuchiwanie ruchu (sniffing)
Najprostszy atak. Na otwartej sieci WiFi atakujący uruchamia Wireshark lub tcpdump i pasywnie nagrywa cały ruch. Widzi odwiedzane strony (zapytania DNS), niezaszyfrowane formularze, pliki przesyłane bez szyfrowania. Przy HTTPS widzi domeny, ale nie treść - to spora ochrona, ale nie pełna.
Fałszywa strona logowania (captive portal phishing)
Łączysz się z WiFi, wyskakuje strona „Zaloguj się przez Facebook, żeby uzyskać dostęp do internetu". Wpisujesz dane - idą do atakującego. Prawdziwe strony logowania WiFi nie proszą o hasło do Facebooka ani banku. Jeśli formularz wygląda dziwnie - zamknij przeglądarkę i poszukaj innej sieci.
Jak się chronić - od najważniejszego
-
Włącz VPN przed połączeniem z siecią. VPN szyfruje cały ruch między twoim urządzeniem a serwerem VPN. Nawet jeśli ktoś podsłuchuje sieć, widzi tylko zaszyfrowane dane - nie wie, jakie strony odwiedzasz, jakie hasła wpisujesz, jakie pliki przesyłasz. To jedna aplikacja, jeden przycisk. Najskuteczniejsza ochrona na publicznym WiFi.
-
Sprawdź nazwę sieci u obsługi. Nie łącz się z pierwszą siecią o nazwie „Free WiFi". Zapytaj kelnera, recepcjonistkę albo obsługę lotniska, jak nazywa się oficjalna sieć. Fałszywe sieci mają nazwy łudząco podobne do prawdziwych - „CafeLatte_WiFi" vs „CafeLatte WiFi" (ze spacją).
-
Wyłącz automatyczne łączenie z sieciami WiFi. Telefon pamięta sieci, z których korzystałeś. Jeśli ktoś postawi router o nazwie identycznej z twoją domową siecią, telefon połączy się automatycznie. Na iPhonie: Ustawienia → WiFi → „Pytaj o dołączanie". Na Androidzie: Ustawienia → Sieć → „Łącz automatycznie" wyłączone.
-
Używaj HTTPS wszędzie. Większość stron już ma HTTPS, ale nie wszystkie. Rozszerzenie HTTPS Everywhere (wbudowane w nowoczesne przeglądarki) wymusza szyfrowane połączenie. Sprawdzaj kłódkę w pasku adresu - szczególnie przed logowaniem i płatnością.
-
Nie loguj się do banku bez VPN. Jeśli nie masz VPN - przełącz się na dane mobilne (LTE/5G). Dane mobilne omijają publiczną sieć WiFi i idą bezpośrednio przez operatora. To bezpieczniejsze niż najlepsza kawiarniowa sieć bez VPN.
-
Wyłącz udostępnianie plików. Na Windows: wyłącz „Wykrywanie sieci" i „Udostępnianie plików i drukarek" w ustawieniach sieci publicznej. Na macOS: Ustawienia systemowe → Ogólne → Udostępnianie → wyłącz wszystko. Na publicznej sieci twój komputer nie powinien być widoczny dla innych urządzeń.
VPN na publicznym WiFi - który wybrać
VPN to najskuteczniejsza ochrona na publicznym WiFi. Ale nie każdy VPN nadaje się do tego samego. Na publicznej sieci liczy się: szybkość połączenia (żebyś nie czekał na załadowanie strony), protokół WireGuard (szybszy i bezpieczniejszy niż starszy OpenVPN) i funkcja automatycznego włączania po połączeniu z nieznaną siecią.
NordVPN
NajszybszyProtokół NordLynx (oparty na WireGuard) daje jedne z najwyższych prędkości na rynku - na publicznym WiFi nie poczujesz spadku. Funkcja „automatyczne łączenie" włącza VPN, gdy wykryje niezaufaną sieć. Ochrona przed zagrożeniami (Threat Protection) blokuje złośliwe domeny i reklamy. 6 urządzeń na jednej licencji, aplikacje na wszystkie platformy.
Sprawdź NordVPN →Link afiliacyjny - zarabiamy prowizję bez dodatkowego kosztu dla Ciebie.
Surfshark
Bez limitu urządzeńJedyny VPN w naszym rankingu bez limitu urządzeń - jeden abonament na laptopa, telefon, tablet i komputer stacjonarny. Tryb Camouflage ukrywa fakt korzystania z VPN (przydatne w krajach blokujących VPN). CleanWeb blokuje reklamy i złośliwe strony. WireGuard, szybki, tani - dobry wybór na podróże z rodziną.
Sprawdź Surfshark →Link afiliacyjny - zarabiamy prowizję bez dodatkowego kosztu dla Ciebie.
ProtonVPN
Darmowy planJedyny VPN z darmowym planem bez limitów transferu danych. Firma z siedzibą w Szwajcarii, pod ochroną szwajcarskiego prawa prywatności. Na darmowym planie prędkość jest ograniczona (wystarczająca do przeglądania, ale nie do streamingu), a serwery dostępne w 5 krajach. Plan Plus odblokowuje WireGuard i pełną prędkość. Dobry start, jeśli nie chcesz od razu płacić.
Sprawdź ProtonVPN →Link afiliacyjny - zarabiamy prowizję bez dodatkowego kosztu dla Ciebie.
Porównanie prędkości, prywatności i cen tych trzech VPN znajdziesz w naszym rankingu VPN 2026.
HTTPS a VPN - co tak naprawdę chroni
Popularne pytanie: skoro większość stron ma HTTPS, to po co VPN? HTTPS chroni więcej, niż myślisz - ale nie chroni wszystkiego.
HTTPS szyfruje treść komunikacji - hasła, formularze, wiadomości, zawartość stron. Atakujący nie widzi, co wpisujesz na stronie banku. Ale widzi, że wchodzisz na stronę banku (domena jest widoczna w zapytaniach DNS i nagłówku SNI). Widzi też, jak często i jak długo korzystasz z poszczególnych serwisów.
VPN szyfruje cały ruch - w tym zapytania DNS. Atakujący nie widzi nawet, jakie strony odwiedzasz. Widzi tylko, że komunikujesz się z serwerem VPN. Nie wie, czy czytasz wiadomości, czy logujesz się do banku.
Szczególne sytuacje
Praca zdalna z kawiarni lub coworkingu
Jeśli łączysz się z firmowym VPN - jesteś zabezpieczony (firmowy VPN szyfruje ruch do sieci firmowej). Jeśli nie masz firmowego VPN, a korzystasz z narzędzi firmowych (Slack, Google Workspace, e-mail) - włącz własny VPN. Dane firmowe na otwartej sieci to ryzyko nie tylko dla Ciebie, ale i dla pracodawcy.
Hotele i Airbnb
Hotelowe WiFi bywa lepsze niż kawiarniowe (osobne hasło na pokój), ale administrator sieci hotelowej widzi cały twój ruch. Zdarza się, że hotele sprzedają dane o aktywności gości firmom marketingowym. VPN rozwiązuje oba problemy - szyfruje ruch i ukrywa go przed administratorem.
Podróże zagraniczne
W niektórych krajach (Chiny, ZEA, Rosja) publiczne sieci WiFi są aktywnie monitorowane. VPN nie tylko chroni prywatność, ale też odblokuje dostęp do polskich serwisów i aplikacji, które mogą być zablokowane. NordVPN i Surfshark mają tryby obfuskacji, które ukrywają fakt korzystania z VPN. Więcej o tym w naszym poradniku o zastosowaniach VPN.
Telefon na dworcu lub w galerii handlowej
Najczęstszy scenariusz - i najczęściej ignorowany. Telefon automatycznie łączy się z otwartą siecią „Galeria_Free" lub „PKP_Intercity". Zanim zdążysz cokolwiek zrobić, aplikacje w tle synchronizują pocztę, wiadomości, chmurę. Wyłącz automatyczne łączenie i włącz VPN zanim połączysz się ręcznie. Albo zostań na LTE - w Polsce pakiety danych są tanie.
Menedżer haseł - nieoczywista ochrona
Menedżer haseł chroni na publicznym WiFi w sposób, o którym mało kto mówi. 1Password i NordPass automatycznie wypełniają hasła tylko na właściwej domenie. Jeśli fałszywy punkt dostępowy przekieruje cię na podrobioną stronę banku (np. mbank-secure.pl zamiast mbank.pl), menedżer nie wpisze hasła. Zauważysz, że coś jest nie tak, zanim podasz dane.
Dodatkowo: jeśli korzystasz z unikalnych haseł na każdym koncie (a do tego właśnie służy menedżer), to nawet przechwycenie jednego hasła nie daje atakującemu dostępu do reszty. W połączeniu z dwuskładnikowym uwierzytelnianiem (2FA) tworzy to solidną barierę.
Najczęstsze pytania
Nie do końca. Na otwartej sieci WiFi (bez hasła) cały ruch między twoim urządzeniem a routerem leci niezaszyfrowany - ktoś w zasięgu może go podsłuchać. Sieci z hasłem (np. kawiarnia podająca hasło na paragonie) są lepsze, bo szyfrują ruch WPA2/WPA3, ale hasło zna każdy gość. Największe ryzyko to fałszywe sieci podszywające się pod prawdziwe.
Tak. VPN szyfruje cały ruch między twoim urządzeniem a serwerem VPN. Nawet jeśli ktoś podsłuchuje sieć WiFi, widzi tylko zaszyfrowane dane - nie wie, jakie strony odwiedzasz ani jakie dane wysyłasz. To najprostsza i najskuteczniejsza ochrona na publicznym WiFi.
Na niezabezpieczonej sieci atakujący może zobaczyć: odwiedzane adresy stron (nawet przy HTTPS widzi domeny), niezaszyfrowane dane logowania (np. HTTP bez S), pliki przesyłane bez szyfrowania, zapytania DNS (jakie strony odwiedzasz). Przy ataku pośrednika może też podmieniać treść stron i podkładać złośliwe pliki do pobrania.
HTTPS szyfruje treść komunikacji między przeglądarką a serwerem - to spora ochrona. Ale nie ukrywa, jakie strony odwiedzasz (widać domeny w zapytaniach DNS i SNI). Nie chroni też przed fałszywym punktem dostępowym, który może przekierować cię na podrobioną stronę z ważnym certyfikatem. VPN dodaje warstwę, której HTTPS nie daje.
Z VPN - tak, ryzyko jest minimalne. Bez VPN - lepiej poczekaj do domu lub przełącz się na dane mobilne (LTE/5G). Bankowość internetowa używa HTTPS, ale fałszywy punkt dostępowy może przekierować cię na podrobioną stronę banku. Dane mobilne omijają publiczną sieć WiFi.