Dlaczego publiczne sieci Wi-Fi są (zazwyczaj) bezpieczne?

• Ponad 90% stron internetowych odwiedzanych z Polski zabezpiecza połączenie za pomocą certyfikatu SSL. To ważny sygnał dla użytkowników.
• VPN zyskują na popularności, lecz nie brakuje osób, które błędnie rozumieją ich mechanizm działa czy też przeznaczenie.
• Chyba każdy spotkał się z zasadą: „nie łącz się z publicznymi sieciami Wi-Fi”. Miało to związek z m.in. z brakiem powszechności korzystania z HTTPS. Tłumaczymy, jak jest obecnie.

Zacznijmy od konkretów: zdecydowana większość stron internetowych wykorzystuje protokół HTTPS zamiast HTTP. Oznacza to, że wszystkie przesyłane przez nas informacje są szyfrowane (za pomocą TLS), dzięki czemu osoby w tej samej sieci nie mogą zobaczyć np. naszych danych logowania do banku czy wiadomości wysyłanych przez komunikatory, nawet jeżeli podsłuchują (potocznie – sniffują) ruch.

„Już 92% stron WWW odwiedzanych z Polski zabezpiecza połączenie z pomocą certyfikatu SSL” – czytamy na łamach Polskiej Agencji Prasowej w artykule z grudnia 2023 roku.

Praktyczna różnica

Obecnie strony wykorzystujące jedynie HTTP często są oznaczane jako niebezpieczne lub niezabezpieczone – oczywiście, to powinno faktycznie wzbudzać naszą czujność i nie powinniśmy tego lekceważyć.

Aby wykazać praktyczne zagrożenia takich witryn, (prawie) niespotykanych w dzisiejszej sieci, można posłużyć się przykładową stroną logowania. Widzimy, że popularne przeglądarki oznaczyły ją jako niezabezpieczoną.

Jeśli wpiszemy login i hasło, faktycznie mogą zostać podsłuchane. Należy jednak jednoznacznie podkreślić, że jeśli mowa o wszystkich najpopularniejszych stronach internetowych (bankach, mediów społecznościowych itd.) – „podejrzenie” danych logowania w ten sposób nie jest możliwe z racji na szyfrowanie ruchu sieciowego.

Powyższa sytuacja nie występuje podczas dzisiejszego korzystania z sieci właśnie dzięki HTTPS.

Skąd to się wzięło?

Rekomendacja „nie łącz się z publicznymi sieciami Wi-Fi” wynikała w przeszłości m.in. z braku powszechności korzystania z HTTPS. Wówczas faktycznie dane mogły być przesyłane „jako tekst”, tzn. w formie możliwej do odczytania przez osoby postronne.

Dobrze tłumaczy to Informatyk Zakładowy w swoim artykule:

Przez minione dwie dekady ekosystem WWW przebył długą drogę. Niegdyś protokół HTTP był normą, zaś wybrane branże, np. bankowość, szczyciły się ponadstandardowym poziomem bezpieczeństwa online, reprezentowanym przez HTTPS i zieloną kłódkę (zwłaszcza w połączeniu z kosztownym certyfikatem Extended Validation SSL). (...) Dawniej brak szyfrowania oznaczał, że operator każdego systemu uczestniczącego w przesyle danych mógł śledzić odwiedzane strony, kraść hasła, przejmować zalogowane sesje, a nawet wstrzykiwać do pobieranych stron własne reklamy. Oczywiście nie było to częste, ale w sieciach osiedlowych czy studenckich dowcipnisiów nie brakowało.
Informatyk Zakładowy, „Czy korzystanie z publicznego Wi-Fi jest bezpieczne?"

Oddajmy głos ekspertom

Odchodzenie od rekomendacji o unikaniu publicznych sieci Wi-Fi jest coraz powszechniejsze – wystarczy przytoczyć stanowiska organizacji blisko związanych z cyberbezpieczeństwem.

„Wizje hakerów przechwytujących nasze hasła, dane bankowe czy prywatne wiadomości sprawiają, że wielu z nas podchodzi do publicznego Wi-Fi z dużą rezerwą, a nawet strachem. Zupełnie niepotrzebnie. (…) Nawet jeśli hipotetyczny atakujący zdołałby „podsłuchać” ruch sieciowy w publicznej sieci Wi-Fi, w przypadku połączenia HTTPS zobaczyłby jedynie zaszyfrowany, bezużyteczny dla niego ciąg znaków. Treść naszej komunikacji pozostaje chroniona” – stwierdzono w artykule CERT Polska z grudnia 2025 roku.

Nie musicie unikać otwartych sieci Wi-Fi.
Niebezpiecznik, „3 rady na Dzień Bezpiecznego Internetu", luty 2020

Kubełek zimnej wody

Oczywiście sprawa byłaby zbyt mało skomplikowana, gdyby ograniczyć ją do: „Wi-Fi jest zawsze OK, nie ważne kiedy”.

„Spokojnie, publiczne WiFi nie stanowi obecnie większego zagrożenia (w zasadzie jedyne zagrożenie, to przekierowanie na fejkowe strony - najczęściej za pomocą captive portal - czyli fałszywe okienko, które czasem pojawia się po podłączeniu do otwartej sieci WiFi - np. w kawiarni czy restauracji)” – stwierdził na LinkedIn Michał Sajdak (Sekurak), przywołując poradnik CERT Polska dotyczący bezpieczeństwa smartfonów.

Pokazuje to bardzo ważne zagadnienie: jeśli sieć wymaga od nas podania jakichkolwiek danych podczas podłączania, warto pamiętać o tym, że może to być phishing.

„Główne ryzyko związane z fałszywym hotspotem polega na tym, że haker może próbować przekierować Was na fałszywe strony logowania (phishing) w celu wyłudzenia danych uwierzytelniających. Warto jednak w tym miejscu dodać, że na strony phishigowe możemy trafić także z bezpiecznej, domowej sieci. Dlatego tak ważne jest zweryfikowanie adresu strony, na której podajemy dane” – stwierdza CERT Polska, odnosząc się do tzw. „evil twins”.

Jak podkreśla Informatyk Zakładowy, w otwartych sieciach Wi-Fi (niewymagających hasła) każdy zainteresowany w zasięgu sieci będzie mógł zobaczyć, że dany użytkownik przegląda określone portale.

Porada: w otwartych sieciach odsłaniasz część szczegółów swojej komunikacji; jeśli czujesz się z tym niekomfortowo – unikaj takiej formy dostępu. Gdy twój komputer udostępnia osobom z zewnątrz jakieś usługi lub zasoby, unikaj jakichkolwiek publicznych sieci Wi-Fi.
Informatyk Zakładowy, „Czy korzystanie z publicznego Wi-Fi jest bezpieczne?"

Przykładowo: podczas konwersacji na Messengerze podsłuchujący ruch sieciowy będą mogli stwierdzić, że dane urządzenie korzysta z portalu Mety, lecz nie będą w stanie zapoznać się z treścią wiadomości.

Inna, ważna perspektywa

„Kolejne zagrożenie, które należy wziąć pod uwagę to możliwość fałszowania odpowiedzi z serwerów DNS. Intruz może nas przekierować do fałszywego Faecbooka, Gmiala czy banku Milleinum. Będzie nawet kłódeczka w pasku przeglądarki bo pewnie część osób nie zauważyła literówek w słowach Facebook, Gmail i Millenium w poprzednim zdaniu” – stwierdza Jakub Staśkiewicz w artykule „(nie) bezpieczeństwo publicznych sieci Wi-Fi”.

Podkreśla również, że w przypadku niektórych zastosowań (np. FTP) korzystanie z otwartej sieci może stanowić realne zagrożenie.

Ekspert zaznaczył też niebezpieczeństwa związane z akceptowaniem niezaufanych certyfikatów – warto pamiętać o tym, że nie powinniśmy tego robić w otwartych sieciach.

Ataki na użytkowników

Obecnie wiele ataków związanych z nieuprawnionym dostępem do kont polega na… zalogowaniu się na nie za pomocą loginu i hasła, pozyskanego w ramach:

• phishingu;
• ponownego wykorzystania danych z wycieków (np. combolist);
• działania złośliwego oprogramowania (m.in. infostealerów);
• przekazania danych logowania do usługi zdalnego pulpitu.

„Dziś użytkownik końcowy jest najsłabszym ogniwem. To właśnie on musi zainstalować AnyDeska lub TeamViewera, by (nieświadomie) dać przestępcom dostęp do swojego telefonu” – kwituje Informatyk Zakładowy.

VPN-y

Wbrew twierdzeniom wielu sprzedawców VPN-ów, rozwiązanie to ani nie „zapewnia bezpieczeństwa”, ani nie chroni przed „podsłuchaniem haseł”. Dziś ruch sieciowy w zdecydowanej większości jest domyślnie szyfrowany.

„VPN dodaje warstwę ochrony, ale dzięki HTTPS i WPA3 często nie jest absolutną koniecznością dla podstawowego bezpieczeństwa. Powszechne stosowanie protokołu HTTPS oraz nowoczesne standardy zabezpieczeń Wi-Fi, takie jak WPA3, już zapewniają solidną ochronę. VPN może być przydatnym narzędziem w kontekście służbowego korzystania z internetu, dla osób szczególnie dbających o prywatność lub w specyficznych scenariuszach” – stwierdza CERT Polska.

Rekomendacje

W przypadku sieci Wi-Fi obecnie głównym zagrożeniem są portale mogące wyłudzać dane podczas nawiązywania połączenia z siecią oraz ewentualne prośby o zaakceptowanie nieznanych certyfikatów.

„(…) bardzo często, szczególnie w dobie masowego wykorzystania LLM-ów uczonych na przestarzałych tekstach, obserwujemy powielanie mitów dotyczących cyberbezpieczeństwa. Czy to w temacie haseł, publicznego Wi-Fi czy szyfrowania połączeń - liczba nieaktualnych porad jest zatrważająca” – stwierdził NASK w artykule dotyczącym informowania o incydentach.

Warto również pamiętać o możłiwości ustawienia losowych adresów MAC, co umożliwają telefony działające zarówno na Androidzie i iOS.

Jednocześnie wciąż powinniśmy pamiętać o tym, aby nigdy nie logować się do kont z cudzych urządzeń, szczególnie w miejscach publicznych.

„Nigdy nie loguj się do żadnych usług online na maszynie stojącej w bibliotece albo hotelu. Możesz tam sprawdzić rozkłady jazdy komunikacji miejskiej albo poczytać wiadomości, ale niewiele więcej” - apeluje Informatyk Zakładowy.

Osoby, które chcą się z nami anonimowo skontaktować, zapraszamy do  formularza w zakładce „Kontakt” (u dołu strony). Przypominamy, że na bazie art. 5 oraz art. 15 Prawa Prasowego, każdy może udzielać informacji bez podawania swojej tożsamości.