Kako sigurno koristiti javni WiFi 2026.: hoteli, kafići, zračne luke i kad VPN stvarno treba

Što se promijenilo s javnim WiFijem do 2026.

Prije deset godina javni WiFi je bio stvarna sigurnosna noćna mora — bilo je trivijalno presretati e-mail lozinke kafića vidovima alata poput Firesheepa. Danas je situacija drugačija iz dva razloga:

1. HTTPS je posvuda. 96% prometa Chrome korisnika u 2026. ide preko HTTPS-a. Banka, gmail, Facebook, sve druge ozbiljne usluge enkriptiraju komunikaciju end-to-end. Čovjek u sredini ne vidi sadržaj, samo to da ste se spojili na google.com.
2. DNS over HTTPS / over TLS su standard u iOS-u, Androidu i većini browsera. To znači da ni vaše DNS lookupove (koje stranice posjećujete po imenu) ne može provider WiFija jednostavno presretati.

Ali javni WiFi i dalje nosi rizike — samo drugačije od onih iz 2014.:

• Lažni hotspoti ("evil twin") s imenom koje izgleda kao legitimno (npr. "Starbucks_Free" umjesto "Starbucks WiFi"). Kad se spojite, prolazite kroz uređaj napadača.
• Captive portal stranice koje vas trade traže "Facebook login" ili "verify by SMS" — phishing maskiran kao prijava na WiFi.
• Otvorene mreže bez ikakve enkripcije gdje uređaji u istoj mreži mogu vidjeti vaše druge uređaje (NAS, printer, telefon).
• Loš certifikat na hotel mreži koji vas prisiljava da kliknete "ignore SSL warning" — to je trenutak kad se sve vaše prethodne zaštite gase.

Korak 1: prije polaska — postavke koje treba imati uvijek

Ovo su jednokratne postavke koje radite prije putovanja, ne kad ste već u hotelskoj WiFi mreži.

iPhone (iOS 18+)

• Postavke → Wi-Fi → Auto-Join Hotspot = Pitaj me. Sprječava automatsko povezivanje na "Free WiFi" mreže koje vidi po prvi put.
• Postavke → Wi-Fi → Privatna adresa = uključeno za sve mreže. Mijenja MAC adresu telefona pri svakoj novoj WiFi mreži, pa vas operater WiFija ne može pratiti kroz lokacije.
• Postavke → Privatnost i sigurnost → Pridruživanje aplikacijama lokalne mreže — pregledajte koje aplikacije imaju pristup lokalnoj mreži. Aplikacije koje ne trebaju (npr. razne društvene mreže) — isključite.
• Postavke → Wi-Fi → Ograniči praćenje IP adrese = uključeno. Maskira vašu IP adresu u Mail i Safariju.

Android (One UI 6 / Pixel 14+)

• Postavke → Mreža i internet → Internet → Automatsko spajanje na javne WiFi mreže = isključeno.
• Postavke → Mreža i internet → Privatna DNS = "automatski" ili dns.adguard-dns.com. Postavlja DoT (DNS over TLS) za sve mreže.
• Postavke → Sigurnost i privatnost → Više sigurnosti → Wi-Fi sigurnost (Samsung) ili "Auto VPN" (Pixel) — ako imate Samsung Knox VPN ili Google One VPN, postavite da se aktivira automatski na nepoznatim mrežama.
• Aplikacije → Posebni pristupi → Promjenjivi Wi-Fi profili — provjerite koje aplikacije mogu mijenjati WiFi postavke. Trebale bi to biti samo dvije-tri sustavske aplikacije.

Računalo (Windows 11 / macOS Sequoia)

• Windows: Postavke → Privatnost i sigurnost → Otkrivanje uređaja u mreži = isključeno kad je profil mreže "Javna". Provjerite da Windows automatski označava nepoznate mreže kao "Javne", ne "Privatne".
• macOS: Postavke → Privatnost i sigurnost → Vatrozid = uključen. "Zatvori sve dolazne veze" je razuman pristup u kafiću.
• Brave / Firefox / Chrome: uključite "Use Secure DNS" u postavkama (DoH preko Cloudflare ili Google).

Korak 2: kako prepoznati legitimni javni WiFi

Kad ste na lokaciji (hotel, kafić, zračna luka), prije spajanja provjerite:

1. Pitajte osoblje za točno ime mreže. "Free WiFi" je generičko ime koje često koriste lažni hotspoti. Legitimni hoteli će vam reći precizno (npr. "Esplanade-Guest", ne "FreeHotel WiFi").
2. Pogledajte koliko se mreža s istim imenom pojavljuje. Ako vidite tri "Hotel_WiFi" mreže, jedna od njih je vjerojatno lažna. Pitajte osoblje za confirm BSSID-a (MAC adrese rutera) ili izaberite onu s najjačim signalom iz lobbyja.
3. Captive portal: kad vam se otvori, legitimni portali nikad ne traže Facebook login, e-mail lozinku ili SMS verifikaciju. Traže samo broj sobe + prezime (hotel) ili šifru s računa (kafić). Ako od vas traže Facebook login, to je phishing — odustanite od mreže.
4. Provjerite SSL certifikat na adresi banke. Otvorite banku ili Gmail i kliknite na ikonu lock-a. Certifikat mora biti izdan od poznatog tijela (Let's Encrypt, DigiCert, Sectigo), ne "captive portal" certifikat lokalnog rutera. Ako Chrome ili Safari prikazuju upozorenje "Vaša veza nije privatna", prekinite odmah i nemojte kliknuti "Nastavi".

Korak 3: što HTTPS rješava, a što ne

HTTPS enkriptira sadržaj između vašeg uređaja i poslužitelja. To znači:

✅ Što je sigurno na HTTPS-u, čak i na javnom WiFi: - Sadržaj e-pošte u Gmailu, Outlooku (sve velike web-poštanske usluge koriste HTTPS). - Bankarstvo u browseru (sve hrvatske banke imaju HTTPS i HSTS). - Slanje poruka u WhatsAppu, Signalu, Telegramu (end-to-end encryption + HTTPS sloja transporta). - Lozinke koje upisujete u Facebook, X (Twitter), Instagram.

❌ Što HTTPS NE rješava: - Metapodaci. Operater WiFija vidi DA ste posjetili banka.hr, ali ne vidi koje stranice unutar nje. To je rješeno samo s VPN-om ili DNS over HTTPS-om. - Pristup vašim uređajima u lokalnoj mreži. Ako je vaš laptop u istoj WiFi mreži kao 50 drugih ljudi, vaš dijeljeni printer ili nezaštićeni NAS mogu biti vidljivi. Rješenje: vatrozid uvijek na "javna mreža". - Lažni captive portal koji simulira HTTPS. Ako vas portal prisili da kliknete "ignore SSL warning" da nastavite, sve što idete dalje je presretano. Nikad ne ignorirate SSL upozorenje.

Korak 4: kad VPN stvarno trebate

VPN nije magični štit — to je tunel između vas i poslužitelja u drugoj zemlji. Sve što inače šaljete browserom prema banci ide kroz vaš ISP. S VPN-om ide kroz VPN provajdera, a tek onda prema banci.

Koristite VPN kad:

• Niste sigurni da je WiFi mreža legitimna. Hotel u kojem ne znate kako mu se točno zove mreža, kafić koji se ne sjećate da li ste mu vjerovali u prošlosti.
• Posjećujete stranice koje žele blokirati lokaciju. RAI dramaska serija u Italiji, BBC iPlayer u UK, JustWatch katalog drugog tržišta.
• Ne želite da vaš internet provajder ili WiFi operater vidi koje stranice posjećujete. Čak i HTTPS ne maskira DNS lookups osim ako ste uključili DoH.
• Radite na privatnoj poruci od poslodavca koja sadrži povjerljive podatke.

Ne morate VPN za:

• Provjeru e-pošte u Gmailu na svom telefonu preko 4G/5G podataka.
• Bankarstvo s telefona preko mobilnih podataka (jer mobilna mreža već ima svoj enkripcioni sloj).
• Općenito surfanje od kuće preko vlastite mreže — VPN za to nije obavezan.

Koji VPN izabrati za putovanje 2026.

Brzi pregled tržišta:

• Mullvad VPN (~5 EUR/mj). Najbolji za privatnost — ne traži e-mail za registraciju, samo broj računa. Plaćanje gotovinom, kriptom ili karticom. Brzine pristojne, ali nije najbrži.
• Proton VPN (~10 EUR/mj). Najbalansiraniji izbor — odlična privatnost, najbrže servere u Europi, integracija s Proton Mailom. Free razina postoji (3 zemlje, sporiji serveri).
• NordVPN (~4 EUR/mj na 2-godišnjem ugovoru). Najveći broj servera, brz, ali politika podataka nije idealna (zastoji u prošlosti). Ako vam je prioritet brzina, OK izbor.

Crveno upozorenje: besplatni VPN-ovi su gori od ničega. "Free VPN" aplikacije iz Play Store/App Store često prodaju vaš promet trećim stranama. Ako ne plaćate uslugu, vi ste proizvod. Iznimka: Proton VPN Free, koji je legitimna besplatna razina ozbiljnog provajdera.

Korak 5: alternativa — vlastiti mobilni hotspot

Najbolji "javni WiFi" je onaj koji nije javni — vaš telefon postaje mobilni router.

iPhone: Postavke → Osobni hotspot → uključi. Lozinka mora biti duga (16+ znakova). Tip "WPA3 Personal" ako su svi vaši uređaji noviji.

Android: Postavke → Mreža i internet → Hotspot i tethering → Wi-Fi hotspot → uključi. Slično.

Računica troškova: - 5-10 GB mjesečno dodatnih mobilnih podataka u Hrvatskoj košta 5-15 EUR (paketi u svim operaterima). - Roaming u EU ide u standardnu kvotu — možete koristiti hotspot u Berlinu, Ateni, Lisabonu jednakim cijenama. - Izvan EU: putna eSIM (Airalo, Saily, Holafly) — 5-10 USD za 5 GB / 7 dana.

Mobilni hotspot je gotovo uvijek sigurniji od hotelskog WiFija jer mobilna mreža ima ozbiljnu autentifikaciju i enkripciju između vašeg telefona i tornja.

Brzi vodič: što napraviti za sljedeće putovanje

1. Doma, prije polaska: uključite gore navedene postavke iOS-a/Androida i vatrozid laptopa.
2. Instalirajte i platite kvalitetni VPN (Mullvad, Proton, NordVPN). Postavite "auto-connect on untrusted networks".
3. U hotelu: pitajte recepciju ime mreže, ignore captive portale koji traže Facebook.
4. Posjetite banku samo nakon što ste potvrdili HTTPS lock ikonu i pokrenuli VPN.
5. Za sve što stvarno bitno (bankarstvo, hitne e-poruke): prebacite se na mobilni hotspot, ne hotel WiFi.
6. Po povratku: isključite VPN auto-connect za vašu kućnu mrežu (ne treba vam tamo) ili napravite "trusted network" izuzeće.

Javni WiFi 2026. nije strašan kao prije deset godina, ali traži malo pažnje. Pravila su jednostavna — HTTPS uvijek, VPN za sumnjive mreže, vlastiti hotspot kad je bitno. Sve drugo je ekstra.