1. Začněte u routeru: heslo, firmware a správný režim zabezpečení
Největší rozdíl v bezpečnosti domácí Wi‑Fi nedělá „síla signálu“, ale nastavení routeru. První krok je změnit výchozí administrátorské heslo, které bývá u mnoha zařízení veřejně dohledatelné v manuálech. Pokud router stále používá výchozí jméno účtu nebo heslo typu admin/admin, je to otevřená pozvánka pro každého, kdo se k němu dokáže připojit nebo dostane přístup k jeho administraci.
Druhý zásadní bod je aktualizace firmwaru. Výrobci routerů pravidelně opravují bezpečnostní chyby, které mohou umožnit vzdálené převzetí správy zařízení. U běžných domácích routerů se vyplatí kontrolovat aktualizace minimálně jednou za 2–3 měsíce, u routerů s podporou automatických aktualizací je vhodné tuto funkci zapnout. Pokud zařízení nedostává bezpečnostní záplaty už delší dobu, je lepší ho vyměnit než spoléhat na štěstí.
Z hlediska zabezpečení Wi‑Fi je dnes standardem WPA3-Personal. Pokud ho router i zařízení podporují, je to nejlepší volba pro domácnost. Pokud ne, použijte WPA2-AES a vyhněte se starším režimům jako WEP nebo WPA/TKIP, které jsou dlouhodobě prolomené nebo slabé. V nastavení routeru zkontrolujte, zda není zapnutý „mixed mode“ s podporou velmi starých zařízení, pokud to není nutné. Každý kompromis v kompatibilitě obvykle znamená kompromis i v bezpečnosti.
2. Heslo k Wi‑Fi musí být delší než to, co si soused tipne za 10 vteřin
Nejslabším článkem bývá heslo. Krátké heslo typu jmeno123 nebo byt2024 lze prolomit pomocí útoků na hesla relativně rychle, zejména pokud útočník zachytí handshake při připojování zařízení k síti. Z praktického hlediska se vyplatí používat heslo dlouhé alespoň 14–16 znaků, ideálně jako náhodnou frázi nebo generovaný řetězec. Čím delší heslo, tím exponenciálně náročnější je jeho prolomení.
Dobrá varianta je například kombinace několika nesouvisejících slov a znaků, třeba Rybnik!Kolo7Strom?Mlha. Je zapamatovatelná pro člověka, ale výrazně odolnější než běžné heslo s jedním slovem a číslem na konci. Pokud nechcete heslo vymýšlet ručně, použijte správce hesel jako Bitwarden, 1Password nebo KeePass. Tyto nástroje umí generovat i ukládat dlouhá unikátní hesla bez nutnosti si je pamatovat.
Stejně důležité je nastavit jinou síť pro hosty. Pokud router nabízí Guest Network, aktivujte ji pro návštěvy, chytrá zařízení nebo méně důvěryhodnou elektroniku. Hostovská síť by měla být oddělená od domácí LAN, aby se návštěvník nedostal k tiskárně, NASu nebo kamerám. U lepších routerů lze nastavit i omezení přístupu mezi zařízeními v hostovské síti, což výrazně snižuje riziko laterálního pohybu útočníka.
3. Vypněte funkce, které jsou pohodlné, ale zbytečně zvyšují riziko
Mnoho domácích routerů má zapnuté funkce, které mohou bezpečnost oslabit. Jednou z nich je WPS (Wi‑Fi Protected Setup). Tato funkce umožňuje rychlé připojení zařízení pomocí tlačítka nebo PINu, ale historicky byla zneužívána k útokům na PIN variantu. Pokud WPS nepoužíváte, vypněte ho. Z pohledu bezpečnosti jde o jednoduchý krok s vysokým přínosem.
Další riziková oblast je vzdálená správa routeru z internetu. Pokud nepotřebujete měnit nastavení routeru mimo domov, funkci Remote Management vypněte. V opačném případě by se administrace mohla stát cílem útoku z internetu, nejen z okolí bytu. Totéž platí pro UPnP: ačkoli usnadňuje připojování některých zařízení a herních konzolí, může automaticky otevírat porty, které by jinak zůstaly zavřené. Pokud nejste pokročilý uživatel a nevíte přesně, proč UPnP potřebujete, je bezpečnější ho vypnout.
Velmi praktický je i výběr názvu sítě. SSID, tedy název Wi‑Fi, by neměl obsahovat vaše příjmení, adresu ani název bytu. Název typu Novakovi_5A zbytečně prozrazuje identitu i lokaci. Lepší je neutrální název bez osobních údajů. Z hlediska bezpečnosti sice název sítě sám o sobě nechrání, ale snižuje množství informací, které cizí člověk získá během pár sekund.
4. Zkontrolujte, kdo je v síti připojený, a nastavte si pravidelný audit
Bezpečnost Wi‑Fi není jednorázová akce. I dobře nastavená síť může být problém, pokud v ní zůstane staré zařízení, které už nikdo nepoužívá, nebo pokud soused kdysi získal heslo a vy jste ho od té doby nezměnili. Proto je vhodné jednou za čas zkontrolovat seznam připojených klientů v administraci routeru. Hledejte neznámé MAC adresy, zařízení s podivnými názvy nebo staré telefony a notebooky, které už doma nemáte.
Praktický postup je jednoduchý: jednou měsíčně se přihlaste do routeru a projděte seznam připojených zařízení. Pokud router ukazuje i čas posledního připojení, snadno poznáte, zda se někdo nepřipojuje v době, kdy nikdo není doma. U modernějších routerů pomáhá i funkce upozornění na nové zařízení, kterou lze zapnout v aplikaci výrobce. To je užitečné zejména v domácnostech, kde síť používá více lidí a někdy si nikdo nevšimne, že se objevil nový neznámý klient.
Pokud objevíte cizí zařízení, okamžitě změňte Wi‑Fi heslo a ideálně i administrátorské heslo routeru. U některých routerů je vhodné po změně hesla restartovat všechna zařízení, aby si síť „osahala“ jen nově autorizované klienty. Pomáhá také vypnout a znovu zapnout hostovskou síť, pokud ji používáte pro návštěvy nebo IoT zařízení.
5. U chytrých zařízení a IoT platí dvojnásobná opatrnost
Největší slabinou domácí sítě nebývá notebook, ale chytrá žárovka, kamera nebo robotický vysavač. Mnohá IoT zařízení mají slabší zabezpečení, méně časté aktualizace a někdy i trvale otevřené služby, které uživatel nemá pod kontrolou. Proto je vhodné dát podobná zařízení do oddělené hostovské nebo IoT sítě, pokud to router umí. U pokročilejších sestav lze vytvořit samostatný VLAN segment, kde budou chytré spotřebiče izolované od hlavních zařízení.
U kamer a úložišť dat platí ještě vyšší nároky. Pokud má router možnost nastavit pravidla mezi sítěmi, povolte chytrým zařízením jen to, co opravdu potřebují. Například kamera nemusí mít přístup k notebookům v domácnosti a chytrá zásuvka nepotřebuje vidět domácí NAS. Tato segmentace výrazně snižuje dopad případného průniku.
Pro domácnosti s větším počtem zařízení je vhodné zvolit router, který zvládá moderní standardy jako Wi‑Fi 6 nebo Wi‑Fi 6E, protože kromě vyšší propustnosti často nabízí i lepší správu více klientů a stabilnější provoz. Bezpečnost ale pořád stojí hlavně na konfiguraci, ne na marketingové nálepce na krabici.
6. Když chcete opravdu zvýšit bezpečnost, přidejte ještě pár profesionálních kroků
Pokud chcete domácí síť posunout na úroveň blízkou malé firmě, zaměřte se na několik detailů navíc. Zapněte DNS filtering přes bezpečné resolver služby, například Quad9 nebo Cloudflare 1.1.1.2, které umí blokovat známé škodlivé domény. U některých routerů lze nastavit vlastní DNS přímo v administraci, případně použít bezpečnější DNS na úrovni jednotlivých zařízení. Tím snížíte riziko, že se některé zařízení připojí na podvodný server.
Dalším krokem je záloha konfigurace routeru. Pokud zařízení selže nebo ho budete resetovat, nemusíte vše nastavovat znovu od nuly. Zálohu si uložte bezpečně, ideálně šifrovaně. U rodin nebo menších domácností je také rozumné mít přehled o tom, kdo zná administrátorské heslo. Čím méně lidí má přístup k nastavení, tím menší je šance na nechtěnou změnu nebo únik.
V praxi se osvědčuje tento minimální bezpečnostní balíček: WPA3 nebo WPA2-AES, dlouhé unikátní heslo, vypnuté WPS, vypnutá vzdálená správa, hostovská síť pro návštěvy a pravidelná kontrola připojených zařízení. To je kombinace, která odradí drtivou většinu zvědavých sousedů i běžných automatizovaných útoků. Pokud navíc router občas aktualizujete a neignorujete varování výrobce, domácí Wi‑Fi bude výrazně bezpečnější než většina standardně nastavených sítí v bytových domech.
