Router: szybkie wygrane bezpieczeństwa
- Aktualizacje firmware: włącz automatyczne, jeśli dostępne; w przeciwnym razie sprawdzaj ręcznie raz w miesiącu.
- Hasło admina: długie i unikalne; wyłącz zdalny panel administracyjny z Internetu.
- Wyłącz WPS (PIN) i zbędne usługi (UPnP w scenariuszach, gdzie nie jest potrzebny).
- 5 GHz / 6 GHz (jeśli masz Wi-Fi 6/6E) — mniej zakłóceń niż 2.4 GHz.
Praktyczny przegląd ustawień i optymalizacji znajdziesz też w: Optymalne ustawienia VPN i Prędkość VPN — test.
Szyfrowanie i hasła: WPA3/WPA2 i PSK
- Tryb WPA3-Personal; jeśli urządzenia nie wspierają — WPA2-AES (unikaj mieszanych z WEP/TKIP).
- Silny PSK: min. 14–16 znaków, losowy; nie używaj nazwy sieci ani słów ze słownika.
- Ukrywanie SSID nie daje realnego bezpieczeństwa — lepiej postawić na silne uwierzytelnianie.
Segmentacja: sieć dla gości i IoT
Urządzenia IoT (kamery, żarówki, TV) mają zwykle słabsze aktualizacje i większe ryzyko luk. Umieść je w osobnej sieci (VLAN/Guest) bez dostępu do sieci głównej.
- Guest SSID — izolacja klientów, brak wglądu do Twoich urządzeń.
- IoT SSID — tylko dostęp do Internetu; zablokuj ruch do segmentu LAN.
- Hasła unikalne dla każdego SSID; różne reguły zapory.
W temacie TV i multimediów: VPN dla Smart TV, VPN dla Apple TV.
DNS, wycieki i prywatność
Zapytania DNS ujawniają, jakie domeny odwiedzasz. Wybierz DNS dostawcy VPN albo zaufany resolver i unikaj wycieków (np. gdy przeglądarka używa DoH poza tunelem).
- Jeśli korzystasz z VPN, wymuś jego DNS w aplikacji. Więcej: Wycieki DNS.
- Jeśli bez VPN — rozważ DNS z ochroną przed phishingiem i malware.
- IPv6: gdy nie jest tunelowane — tymczasowo wyłącz w systemie lub w routerze.
Publiczne Wi-Fi: jak nie dać się złapać
- VPN z kill switchem i Auto-connect — włącz zanim użyjesz banku czy poczty. Przewodnik: publiczne Wi-Fi.
- Captive portal: najpierw zaloguj się do portalu, potem włącz VPN (pomocne:
neverssl.com). - WebRTC: ogranicz w przeglądarce ujawnianie IP lokalnego.
Praca zdalna w hotelu? Rozważ dedykowany IP i zasady z praca zdalna.
Praca zdalna i urządzenia firmowe
- Wymuś VPN dla narzędzi służbowych (RDP/SSH/CRM), prywatny ruch osobno lub split tunneling.
- MFA/2FA do kont firmowych (authenticator, klucze U2F). Omówienie: VPN i 2FA/MFA.
Checklista bezpieczeństwa Wi-Fi
- Router: aktualizacje, silne hasło admina, wyłączone WPS/UPnP (jeśli zbędne).
- WPA3-Personal (lub WPA2-AES) + PSK ≥16 znaków.
- Oddzielne SSID: Goście i IoT, izolacja klientów i blokada do LAN.
- DNS bez wycieków; IPv6 zgodne lub wyłączone.
- W publicznym Wi-Fi: VPN + kill switch, logowanie do captive portalu przed uruchomieniem VPN.
TOP 5 praktyk ochrony Wi-Fi (2025)
- WPA3 + silny PSK — unikasz słabych haseł i starych protokołów.
- Aktualny router — łatki bezpieczeństwa na czas.
- Segmentacja — oddziel IoT i gości od LAN.
- DNS bez wycieków — spójność regionu i prywatność.
- VPN w hotspotach — tunel + kill switch + Auto-connect. Jak to zrobić
FAQ — bezpieczeństwo Wi-Fi
Czy ukrywanie SSID poprawia bezpieczeństwo?
Niewiele — sieć i tak można wykryć. Lepiej skupić się na WPA3/WPA2-AES i silnym haśle.
WPS jest wygodny — czy warto zostawić?
Nie. WPS bywa podatny (PIN). Lepiej go wyłączyć i parować urządzenia klasycznie.
Czy darmowy VPN jest OK do publicznego Wi-Fi?
Zwykle nie — limity i wątpliwa prywatność. Lepiej wybrać płatny VPN z audytami no-logs i działającym kill switchem.
