Bezpieczne korzystanie z internetu — kompletny przewodnik

Internet stał się częścią codziennego życia — robimy przez niego zakupy, bankujemy, pracujemy, komunikujemy się z bliskimi. CERT Polska odnotował w 2024 r. ponad 600 tys. zgłoszeń — wzrost o 62% w porównaniu z rokiem poprzednim. Zagrożenia rosną, ale dobra wiadomość jest taka: większości z nich można uniknąć, stosując kilka sprawdzonych zasad. Ten przewodnik pokaże ci, jak chronić się w sieci bez konieczności bycia ekspertem od bezpieczeństwa.

Silne hasła — fundament bezpieczeństwa

Hasło to pierwsza linia obrony. Niestety, wiele osób nadal używa „123456”, daty urodzenia albo imienia pupila. Cyberprzestępcy doskonale o tym wiedzą — ataki słownikowe i tzw. credential stuffing (testowanie haseł wykradzionych z innych serwisów) są dziś w pełni zautomatyzowane.

Jakie hasło jest naprawdę silne?

Silne hasło to takie, które jest długie (minimum 12 znaków), losowe i unikalne dla każdego serwisu. Nie musisz pamiętać ciągu przypadkowych liter — menedżer haseł zrobi to za ciebie. Ważne zasady:

• Nigdy nie używaj tego samego hasła w dwóch miejscach. Jeśli jeden serwis wycieknie, przestępca nie dostanie się do twoich pozostałych kont.
• Unikaj oczywistych zastąpień — „P@ssw0rd” jest prawie tak samo słabe jak „Password”.
• Frazy hasłowe (np. „Kot-Skacze-Na-Biurko-7!”) są długie, łatwe do zapamiętania i trudne do złamania.
• Nie zapisuj haseł w notatniku ani pliku tekstowym na pulpicie.

Menedżer haseł — twój cyfrowy sejf

Menedżer haseł generuje, przechowuje i automatycznie wypełnia hasła. Ty musisz pamiętać tylko jedno — hasło główne do menedżera. Dobre rozwiązania są dostępne zarówno płatne, jak i bezpłatne. Szczegółowe porównanie znajdziesz w sekcji menedżery haseł.

Dobry menedżer haseł powinien oferować:

• Generowanie silnych haseł o dowolnej długości i złożoności
• Synchronizację między komputerem, telefonem i przeglądarką
• Audyt haseł — informację o powtórzonych lub słabych hasłach
• Monitorowanie wycieków — alert, gdy twój e-mail pojawi się w bazie skradzionych danych

Więcej o tworzeniu silnych haseł przeczytasz w poradniku Jak stworzyć bezpieczne hasło?.

Porównanie strategii zarządzania hasłami

Metoda	Poziom ochrony	Wygoda	Koszt	Ryzyko
Jedno hasło do wszystkiego	Bardzo niska	Wysoka	Brak	Jedno wycieknięte = wszystko stracone
Hasła zapisane w notatniku papierowym	Niska	Średnia	Brak	Kradzież fizyczna, zgubienie
Plik tekstowy / Excel	Niska	Średnia	Brak	Malware odczyta plik
Hasła zapisane w przeglądarce	Średnia	Wysoka	Brak	Powiązane z kontem Google/Apple
Dedykowany menedżer haseł	Wysoka	Wysoka po przyzwyczajeniu	Bezpłatny lub kilka zł/mies.	Jedno silne hasło główne do ochrony

Weryfikacja dwuetapowa (2FA) — drugi zamek w drzwiach

Nawet najlepsze hasło może wyciec — przez wyciek danych z serwisu, phishing albo złośliwe oprogramowanie. Weryfikacja dwuetapowa (2FA) sprawia, że samo hasło nie wystarczy, żeby wejść na twoje konto. Napastnik potrzebuje też dostępu do twojego telefonu lub klucza sprzętowego.

Rodzaje 2FA — od najsłabszego do najsilniejszego

1. SMS — najsłabszy, ale nadal lepszy niż nic. Podatny na atak SIM swapping (przejęcie numeru telefonu). W Polsce odnotowano przypadki, gdy przestępcy wyrabiali duplikaty kart SIM u operatorów na podstawie skradzionych danych, żeby przechwycić kody SMS z banku.
2. Aplikacja uwierzytelniająca (Google Authenticator, Aegis, Authy) — generuje jednorazowe kody co 30 sekund. Znacznie bezpieczniejsza od SMS, bo nie zależy od sieci telefonicznej ani od operatora.
3. Klucz sprzętowy (YubiKey, Nitrokey) — fizyczne urządzenie podłączane do USB lub NFC. Najwyższy poziom ochrony, praktycznie niemożliwy do obejścia zdalnie.
4. Passkeys — nowy standard FIDO2, łączy wygodę z bezpieczeństwem. Coraz szerzej wspierany przez Google, Apple, Microsoft i polskie banki. Logowanie na podstawie odcisku palca lub twarzy zamiast hasła.

Włącz 2FA na wszystkich ważnych kontach: e-mail, bankowość internetowa, media społecznościowe, sklepy online. Szczegółowy poradnik znajdziesz tutaj: Weryfikacja dwuetapowa (2FA): jak działa i dlaczego warto ją włączyć.

„Uwaga:” Kody 2FA przez SMS są bezpieczniejsze niż brak 2FA, ale nie dają pełnej ochrony. Jeśli możesz, przejdź na aplikację uwierzytelniającą.

Na których kontach 2FA jest najważniejsze?

Priorytetyzacja jest kluczowa — zacznij od kont, których przejęcie najbardziej zagraża. Twój e-mail jest centrum wszystkiego: przez funkcję „zresetuj hasło” ktoś z dostępem do skrzynki może przejąć dosłownie każde inne konto.

Konto	Priorytet włączenia 2FA	Dlaczego
Główna skrzynka e-mail	Natychmiast	Klucz do resetowania wszystkich innych haseł
Bankowość internetowa	Natychmiast	Bezpośrednie straty finansowe
Konto Google / Apple ID	Bardzo wysoki	Dostęp do kontaktów, zdjęć, płatności, kopii telefonu
Media społecznościowe	Wysoki	Przejęcie = szantaż, podszywanie się pod ciebie
Sklepy internetowe	Wysoki	Dane kart, historia zamówień
Usługi streamingowe	Niski	Ograniczone ryzyko finansowe

Phishing — jak rozpoznać i uniknąć pułapki

Phishing to oszustwo, w którym przestępca podszywa się pod kogoś godnego zaufania — bank PKO BP lub mBank, InPost, ZUS, BLIK, a nawet twoich bliskich — żeby wyłudzić hasło, dane karty lub kod SMS. To dziś najczęstsza metoda ataku w Polsce. CERT Polska odnotowuje dziesiątki tysięcy zgłoszeń phishingowych rocznie, a ofiarami są osoby w każdym wieku i z każdym poziomem znajomości technologii.

Sygnały alarmowe phishingu

• Wiadomość tworzy presję czasową: „Twoja paczka zostanie zwrócona za 24 godziny”, „Konto zostanie zablokowane dziś”.
• Adres nadawcy wygląda podejrzanie: pkobp-bezpieczenstwo@gmail.com zamiast oficjalnej domeny banku.
• Link prowadzi na stronę z literówką w adresie: pk0bp.pl zamiast pkobp.pl.
• Proszą cię o podanie hasła, kodu BLIK, numeru PESEL lub danych karty.
• Treść zawiera błędy językowe lub dziwne sformułowania.

Popularne scenariusze w Polsce

SMS od „InPost” — informuje o dopłacie kilku złotych za paczkę. Link prowadzi do fałszywej strony płatności, która kradnie dane karty. Prawdziwy InPost nigdy nie prosi o dopłatę przez SMS z linkiem do zewnętrznej płatności.

Przelew BLIK przez WhatsApp — ktoś podszywa się pod znajomego i prosi o szybki przelew kodem BLIK. Zawsze zadzwoń i potwierdź głosowo, zanim wyślesz kod. Oszustwo to działa, bo korzysta z zaufania — przestępca przejmuje konto znajomego w mediach społecznościowych i pisze z jego imienia.

Fałszywa strona banku — dostajesz e-mail z linkiem do „bezpiecznego logowania”. Strona wygląda identycznie jak prawdziwa, ale to kopia wyłudzająca dane logowania. Zawsze wpisuj adres banku ręcznie lub korzystaj z aplikacji mobilnej.

Podszywanie się pod mObywatel lub ZUS — wiadomości o „zaległości w ZUS” albo „weryfikacji tożsamości przez mObywatel” z linkiem do fałszywej strony rządowej. Prawdziwe instytucje rządowe komunikują się przez oficjalne kanały, nie przez SMS z linkiem do logowania.

Wyłudzenie danych PESEL przez telefon — dzwoni „pracownik banku” lub „policjant” i prosi o podanie PESEL, daty urodzenia i numeru dowodu w celu „weryfikacji”. Te dane wystarczą do wzięcia pożyczki na twoje nazwisko.

Pełny przewodnik po phishingu, z przykładami i zdjęciami, znajdziesz tu: Jak chronić się przed phishingiem?.

Co zrobić, gdy podejrzewasz phishing?

• Nie klikaj w linki z wiadomości, których się nie spodziewałeś.
• Sprawdź adres nadawcy (nie tylko wyświetlaną nazwę — rozwiń szczegóły).
• Wejdź na stronę bezpośrednio (wpisując adres ręcznie), a nie przez podany link.
• Zadzwoń na oficjalną infolinię banku lub firmy, żeby potwierdzić autentyczność wiadomości.
• Zgłoś podejrzaną wiadomość do CERT Polska pod adresem cert.pl.

Aktualizacje oprogramowania — nudna czynność, która ratuje dane

Producenci oprogramowania regularnie odkrywają luki bezpieczeństwa i wydają łatki. Jeśli nie aktualizujesz systemu i aplikacji, twój komputer lub telefon może być podatny na ataki, które zostały już dawno naprawione w nowszych wersjach.

Co aktualizować i jak często?

• System operacyjny (Windows, macOS, Android, iOS) — jak najszybciej po pojawieniu się aktualizacji. Najlepiej włącz aktualizacje automatyczne.
• Przeglądarka internetowa — Chrome, Firefox, Edge aktualizują się zazwyczaj automatycznie. Upewnij się, że ta opcja jest włączona.
• Aplikacje bankowe i rządowe (mObywatel, aplikacja banku) — aktualizuj natychmiast; zawierają krytyczne poprawki bezpieczeństwa.
• Router domowy — często zapomniany. Wejdź w ustawienia routera i sprawdź, czy firmware jest aktualny. Niezaktualizowany router to brama dla atakujących do całej domowej sieci.
• Aplikacje mobilne — ustaw automatyczne aktualizacje w App Store lub Google Play.

„Uwaga:” Ataki ransomware (wirusy szyfrujące pliki) w ponad połowie przypadków wykorzystują luki w niezaktualizowanym oprogramowaniu. Aktualizacja to jedna z najtańszych i najskuteczniejszych form ochrony.

Oprogramowanie, którego warto się pozbyć

Stare, nieużywane aplikacje to potencjalny wektor ataku. Regularnie przeglądaj zainstalowane programy i odinstaluj te, których już nie używasz — szczególnie stare wtyczki do przeglądarki, aplikacje od nieznanych wydawców oraz programy, które nie były aktualizowane od ponad roku.

Kiedy aktualizacja jest pilna?

Nie wszystkie aktualizacje są równie ważne. Producenci oznaczają część z nich jako „krytyczne” — to zazwyczaj łatki zamykające aktywnie wykorzystywane luki. Kiedy widzisz taki komunikat w systemie Windows, macOS lub na telefonie z Androidem — nie odkładaj aktualizacji na jutro.

Kopie zapasowe — na wypadek, gdy wszystko pójdzie nie tak

Nawet jeśli stosujesz wszystkie zasady bezpieczeństwa, może zdarzyć się awaria dysku, kradzież laptopa lub atak ransomware. Kopia zapasowa to jedyne skuteczne zabezpieczenie przed utratą danych — żadne hasło ani antywirus nie odtworzą skasowanych plików.

Reguła 3-2-1

Specjaliści od bezpieczeństwa zalecają tzw. regułę 3-2-1:

• 3 kopie danych (oryginał + 2 kopie)
• na 2 różnych nośnikach (np. dysk zewnętrzny i chmura)
• w tym 1 kopia poza lokalizacją (chmura lub dysk u rodziny)

Praktyczne rozwiązania dla zwykłego użytkownika

Chmura — Google Drive, Microsoft OneDrive lub iCloud automatycznie synchronizują pliki. Pamiętaj: synchronizacja to nie to samo co kopia zapasowa — jeśli przypadkowo usuniesz plik lub ransomware go zaszyfruje, po chwili ta wersja trafi też do chmury. Szukaj rozwiązań z historią wersji lub dedykowanego backupu.

Dysk zewnętrzny — tani i prosty. Podłącz raz w miesiącu, wykonaj kopię, odłącz. Dysk stale podłączony do komputera jest podatny na ransomware — jeśli wirus szyfruje wszystkie dyski w systemie, stale podłączony backup też zostanie zaszyfrowany.

Automatyczne kopie w Windows/macOS — Windows oferuje Historię plików, macOS — Time Machine. Skonfiguruj te narzędzia, żeby działały automatycznie na zewnętrzny dysk.

Co kopiować w pierwszej kolejności?

Zrób listę „rzeczy nie do odzyskania” — zdjęcia z dzieciństwa, dokumenty, prace dyplomowe, projekty. Dane z Gmaila czy Facebooka możesz odtworzyć przez logowanie, ale pliki z dysku komputera po awarii — nie.

Dane	Priorytet kopii	Sugerowane rozwiązanie
Zdjęcia i filmy rodzinne	Krytyczny	Chmura (Google Photos) + dysk zewnętrzny
Dokumenty, CV, umowy	Wysoki	Chmura + dysk zewnętrzny
Pliki projektów, praca zdalna	Wysoki	Chmura biznesowa + dysk
Muzyka, filmy zakupione	Średni	Zdrowy rozsądek — często odtwarzalne z konta
Konfiguracja systemu	Niski	Nowa konfiguracja jest szybsza niż backup systemu

Prywatność w sieci — co zostawiasz po sobie

Każda strona, którą odwiedzasz, zbiera o tobie dane — adres IP, system operacyjny, historię kliknięć, zainteresowania. Firmy reklamowe budują szczegółowe profile użytkowników. Możesz ograniczyć ten ślad, choć trudno go całkowicie wyeliminować.

Podstawowe kroki dla prywatności

Przeglądarka i jej ustawienia:

• Używaj przeglądarki z dobrą ochroną prywatności (Firefox z rozszerzeniem uBlock Origin, Brave).
• Włącz blokowanie trackerów stron trzecich.
• Regularnie czyść cookies lub używaj kontenerów (Firefox Multi-Account Containers).

VPN w publicznych sieciach Wi-Fi: Kawiarnia, lotnisko, hotel — publiczne sieci Wi-Fi mogą być monitorowane lub sfałszowane. VPN szyfruje twój ruch, tak że operator sieci nie widzi, co robisz. Sprawdź ranking w sekcji /vpn/.

Uprawnienia aplikacji mobilnych: Regularnie sprawdzaj, które aplikacje mają dostęp do mikrofonu, kamery, lokalizacji i kontaktów. Odbierz uprawnienia tym, które nie potrzebują ich do działania. W Polsce coraz więcej darmowych aplikacji zbiera dane lokalizacyjne do celów reklamowych.

Dane osobowe w mediach społecznościowych: Nie podawaj publicznie daty urodzenia, numeru telefonu, adresu zamieszkania. Przestępcy zbierają te dane, żeby tworzyć przekonujące wiadomości phishingowe lub próbować odzyskać hasła przez funkcję „zapomniane hasło”.

Sprawdzenie, czy twoje dane wyciekły

Wycieki danych zdarzają się regularnie — atakowane są sklepy internetowe, portale randkowe, fora dyskusyjne. Twoje dane mogą krążyć w darknecie, nawet jeśli nigdy nie byłeś celem bezpośredniego ataku. Dowiedz się, jak sprawdzić swój status: Jak sprawdzić, czy moje dane wyciekły?.

Bezpieczeństwo urządzeń mobilnych

Smartfon to dziś centrum naszego życia cyfrowego — mamy tam aplikacje bankowe, zdjęcia, kontakty, e-mail. Utrata kontroli nad telefonem może być bardziej dotkliwa niż utrata laptopa.

Kluczowe zasady dla telefonu

• Blokada ekranu — PIN (minimum 6 cyfr), hasło lub biometria. Unikaj prostych wzorów przesuwania — badania pokazały, że można je odgadnąć obserwując ślady tłuszczu na ekranie.
• Szyfrowanie danych — nowoczesne telefony (Android 6+, iOS) szyfrują dane automatycznie, o ile masz ustawioną blokadę ekranu.
• Instaluj aplikacje tylko z oficjalnych sklepów — Google Play i App Store weryfikują aplikacje pod kątem złośliwego oprogramowania (choć nie jest to weryfikacja stuprocentowa). Unikaj instalowania plików APK z nieznanych źródeł.
• Nie omijaj aktualizacji systemu — telefony przestają być aktualizowane po kilku latach; to ważny czynnik przy wyborze urządzenia.
• Włącz „Znajdź mój telefon” — możliwość zdalnego zablokowania lub wyczyszczenia telefonu w razie kradzieży.

Publiczne ładowarki USB — ukryte ryzyko

Publiczne ładowarki USB (na lotniskach, w kawiarniach, hotelach) mogą być zmodyfikowane w celu kradzieży danych lub instalacji złośliwego oprogramowania — atak ten znany jest jako juice jacking. Używaj własnej ładowarki i kabla lub powerbanku. Alternatywnie — używaj adaptera „USB data blocker”, który przepuszcza prąd, ale blokuje wymianę danych.

Bezpieczne korzystanie z mediów społecznościowych

Media społecznościowe to nie tylko rozrywka — to skarbnica danych osobowych, przez którą przestępcy budują profile do ataków phishingowych i socjotechnicznych.

Ustawienia prywatności — co sprawdzić

Na Facebooku, Instagramie i TikToku domyślne ustawienia prywatności są zazwyczaj zbyt permisywne. Warto poświęcić 20 minut i przejrzeć je raz na rok:

• Kto widzi twoje posty? — zmień z „Wszyscy” na „Znajomi” lub niestandardową grupę.
• Kto może cię oznaczać? — włącz zatwierdzanie tagów przed ich pojawieniem się na twoim profilu.
• Historia lokalizacji i dane o aktywności — wyłącz śledzenie lokalizacji przez aplikacje.
• Powiązane aplikacje trzecich stron — wejdź w ustawienia konta i sprawdź, ile aplikacji ma dostęp do twojego profilu. Usuń nieużywane.

Deepfake i dezinformacja

Narzędzia do generowania fałszywych nagrań i zdjęć stają się coraz bardziej dostępne. W Polsce pojawiły się przypadki użycia deepfake do wyłudzenia pieniędzy przez imitację głosu prezesa firmy. Jeśli dostajesz wiadomość głosową lub wideo z prośbą o pilne działanie finansowe — zadzwoń i potwierdź niezależnym kanałem.

Ogólna zasada: jeśli wiadomość tworzy presję i prosi o pieniądze lub dane — zawsze weryfikuj przez inny kanał niż ten, przez który dotarła.

Bezpieczeństwo dzieci i seniorów w internecie

Dwie grupy użytkowników są szczególnie narażone — dzieci, bo brakuje im doświadczenia w rozpoznawaniu zagrożeń, i seniorzy, bo przestępcy celowo opracowują ataki skierowane przeciwko nim.

Jak rozmawiać z dzieckiem o bezpieczeństwie online

Filtry rodzicielskie i narzędzia kontroli to uzupełnienie, nie zastępnik rozmowy. Dzieci, które rozumieją, dlaczego pewne zachowania online są ryzykowne, są lepiej chronione niż te, które po prostu słyszą zakazy.

Kluczowe tematy do omówienia:

• Nie udostępniaj danych osobowych (imię, adres, szkoła, numer telefonu) w grach online, na forach i w aplikacjach.
• Nieznajomi online to nieznajomi — nawet jeśli wydają się sympatyczni i twierdzą, że znają kogoś z rodziny.
• Jeśli coś cię niepokoi — powiedz mi. Dzieci, które boją się reperkusji, często ukrywają problemy online.
• Nie wszystko w internecie jest prawdą — deepfake, fałszywe zdjęcia celebrytów, manipulowane filmy.

Seniorzy — najczęstsze pułapki

Polskie służby bezpieczeństwa regularnie ostrzegają przed atakami na osoby starsze. Najczęstsze scenariusze:

Oszustwo „na wnuczka” w wersji online — wiadomość na komunikatorze od „wnuka” z prośbą o pilny przelew lub kody BLIK. Zawsze zadzwoń bezpośrednio do wnuka przed jakimkolwiek działaniem.

Fałszywe inwestycje — reklamy w mediach społecznościowych obiecujące ogromne zyski z kryptowalut lub „sprawdzonych” funduszy. UOKIK i KNF regularnie ostrzegają przed takimi schematami; lista ostrzeżeń dostępna jest na stronie knf.gov.pl.

Technik pomocy technicznej — telefon od „Microsoftu” lub „banku” z informacją, że komputer jest zainfekowany i trzeba zainstalować program zdalnego dostępu. To klasyczny atak — żadna firma nigdy nie dzwoni z własnej inicjatywy z prośbą o dostęp do komputera.

Co robić po włamaniu lub phishingu — plan działania

Bycie ofiarą ataku to stresująca sytuacja. Ważne, żeby działać spokojnie i metodycznie, bo pochopne decyzje mogą pogorszyć sytuację.

Krok po kroku po przejęciu konta

1. Odejdź od zainfekowanego urządzenia — jeśli podejrzewasz złośliwe oprogramowanie, nie używaj urządzenia do kolejnych kroków.
2. Zmień hasło do zaatakowanego konta z innego, czystego urządzenia — telefonu, komputera rodziny.
3. Zmień hasła do wszystkich miejsc, gdzie użyłeś tego samego lub podobnego hasła — to priorytet, zrób to natychmiast.
4. Sprawdź aktywne sesje — większość serwisów (Gmail, Facebook, PKO BP) pokazuje, gdzie jesteś zalogowany. Wyloguj nieznane urządzenia.
5. Jeśli wyciekły dane karty płatniczej — zadzwoń na infolinię banku i zastrzeż kartę. W Polsce każdy bank ma całodobową infolinię do blokowania kart.
6. Jeśli podałeś PESEL lub dane dowodu — zastrzeż numer PESEL w BIK lub mObywatelu. Usługa jest bezpłatna i chroni przed wzięciem pożyczki na twoje dane.
7. Zgłoś incydent do CERT Polska przez formularz na stronie cert.pl — pomagasz w ochronie innych i dostarczasz danych do statystyk zagrożeń.

Kiedy zgłosić sprawę na policję?

Jeśli poniosłeś straty finansowe, sprawa powinna trafić na policję — nawet jeśli nie wiesz, kto stoi za atakiem. Złóż zawiadomienie o podejrzeniu popełnienia przestępstwa. Zachowaj wszystkie dowody: zrzuty ekranu wiadomości, potwierdzenia przelewów, logi korespondencji.

Antywirus i ochrona w czasie rzeczywistym

Antywirus to nie jedyne zabezpieczenie — ale dobry program ochrony w czasie rzeczywistym może zatrzymać złośliwe oprogramowanie, zanim wyrządzi szkody. Warto wiedzieć, jak działają i czego po nich oczekiwać.

Jak działają nowoczesne antywirusy?

Klasyczny antywirus porównywał pliki z bazą znanych wirusów (sygnatury). Nowoczesne rozwiązania idą dalej:

• Analiza behawioralna — program obserwuje, jak aplikacja się zachowuje, nie tylko jak wygląda. Jeśli coś zaczyna szyfrować setki plików w ciągu sekund — antywirus to zauważy i zatrzyma.
• Ochrona przed phishingiem i złośliwymi stronami — lista znanych niebezpiecznych adresów URL aktualizowana w czasie rzeczywistym.
• Ochrona poczty e-mail — skanowanie załączników przed ich otwarciem.
• Sandbox — podejrzane pliki uruchamiane w odizolowanym środowisku, zanim trafią do systemu.

Czy Windows Defender wystarczy?

Windows 10 i 11 mają wbudowany Microsoft Defender — i w testach niezależnych laboratoriów (AV-Test, AV-Comparatives) wypada on całkiem dobrze. Dla typowego użytkownika, który stosuje też inne zasady bezpieczeństwa (2FA, menedżer haseł, aktualizacje), Defender jest solidną bazą.

Komercyjne rozwiązania jak ESET, Bitdefender czy Norton 360 oferują dodatkowe funkcje: lepszy VPN wbudowany, zarządzanie hasłami, monitoring dark web, ochronę kamery internetowej. Czy te dodatki są warte ceny — zależy od twoich potrzeb.

Czego NIE warto: instalować kilku antywirusów jednocześnie. Dwa programy ochrony działające równolegle mogą wzajemnie blokować się i spowalniać system. Jeden dobrze skonfigurowany program to właściwe podejście.

Szczegółowe porównanie programów antywirusowych znajdziesz w naszym rankingu antywirusów.

Bezpieczeństwo sieci Wi-Fi w domu

Router domowy to często zapomniany element bezpieczeństwa. Skompromitowany router daje atakującemu dostęp do całego ruchu sieciowego w domu — wszystkich urządzeń, bez wyjątku.

Podstawowe zabezpieczenie routera

Większość routerów wychodzi z fabryki z domyślnymi danymi logowania do panelu administracyjnego (np. admin/admin lub admin/1234). Zmiana tych danych to pierwszy krok.

Co zrobić po wejściu do panelu routera:

1. Zmień domyślne hasło administratora na silne i unikalne — zapisz je w menedżerze haseł.
2. Zaktualizuj firmware — wejdź do ustawień i sprawdź dostępność aktualizacji oprogramowania.
3. Ustaw sieć Wi-Fi na WPA3 lub co najmniej WPA2 — unikaj przestarzałego WEP i WPA (bez cyfry 2).
4. Wyłącz WPS (Wi-Fi Protected Setup) — ta funkcja ma znane luki bezpieczeństwa.
5. Zmień domyślną nazwę sieci (SSID) — najlepiej na coś, co nie zdradza modelu routera ani twojego imienia/adresu.

Osobna sieć dla gości i urządzeń IoT

Nowoczesne routery pozwalają tworzyć oddzielne sieci Wi-Fi. Skonfiguruj:

• Sieć gości — dla odwiedzających: ma dostęp do internetu, ale nie do twojej sieci lokalnej i urządzeń.
• Sieć IoT — dla smartfonów, telewizorów, kamer, głośników Alexa/Google Home. Urządzenia IoT mają często słabsze zabezpieczenia i rzadko aktualizowane oprogramowanie — izolacja ich od głównej sieci chroni komputer i telefon.

Bezpieczne zakupy i bankowość online

Transakcje finansowe online to obszar, gdzie konsekwencje błędu są natychmiastowe i wymierne. Kilka zasad, które warto stosować za każdym razem.

Zakupy online — jak nie dać się okraść

• Kupuj na znanych, zaufanych platformach — Allegro, Amazon, sklepy z długą historią i pozytywnymi opiniami. Przy nowych sprzedawcach sprawdź datę rejestracji domeny (np. przez whois.domaintools.com).
• Sprawdź adres URL przed płatnością — upewnij się, że widzisz właściwy adres, nie podróbkę z literówką.
• Używaj karty kredytowej lub płatności przez operatora (PayU, Przelewy24, BLIK) zamiast przelewu bezpośredniego na konto sprzedawcy. Płatność kartą daje możliwość chargebacku.
• BLIK to nie przelew anonimowy — kod BLIK pozwala pobrać pieniądze z konta. Wysyłając go przez WhatsApp, przekazujesz komuś możliwość pobrania gotówki z bankomatu lub opłacenia zakupów.
• Sprawdź SMS-a autoryzacyjnego — przed wpisaniem kodu z SMS-a przeczytaj, co autoryzujesz: kwotę, odbiorcę. Nie klikaj, zanim nie rozumiesz, za co płacisz.

Bankowość online — standardy bezpieczeństwa

• Loguj się tylko przez oficjalną aplikację mobilną lub wpisując adres banku ręcznie. Nigdy przez link z e-maila.
• Sprawdź certyfikat SSL — kliknij na kłódkę w przeglądarce i upewnij się, że certyfikat wystawiony jest dla właściwej domeny banku.
• Ustaw limity transakcji w bankowości online — ogranicz maksymalną kwotę przelewu do kwoty, której nie użyłbyś normalnie w jednej transakcji.
• Włącz powiadomienia push lub SMS o każdej transakcji. Szybka reakcja na nieautoryzowaną transakcję zwiększa szansę na odzyskanie pieniędzy.

Najczęstsze błędy w bezpieczeństwie online

Znając typowe błędy, łatwiej ich uniknąć — szczególnie pod presją czasu lub w stresie.

1. Zakładanie, że atak mnie nie dotyczy

„Jestem zwykłym człowiekiem, co ktoś może chcieć ode mnie?” — to powszechne przekonanie. Prawda jest inna: przestępcy często działają automatycznie i masowo. Twoje hasło do serwisu X może posłużyć do próby logowania na kilkaset innych serwisów w ciągu minut. Nie jesteś celem — jesteś jednym z milionów losowo skanowanych użytkowników.

2. Używanie SMS jako jedynego 2FA

SMS jest zdecydowanie lepszy niż brak 2FA, ale pamiętaj o jego słabościach. Przestępcy w Polsce wyłudzali duplikaty kart SIM, żeby przechwycić kody SMS z banków. Jeśli bank oferuje autoryzację przez aplikację mobilną zamiast SMS — skorzystaj z tego.

3. Klikanie w linki „bo wygląda oficjalnie”

Nowoczesne strony phishingowe wyglądają identycznie jak prawdziwe — mają poprawną grafikę, polskie teksty, a nawet działający certyfikat SSL (zielona kłódka). Kłódka oznacza tylko szyfrowane połączenie, nie że strona jest autentyczna. Zawsze sprawdzaj adres URL, nie tylko wygląd strony.

4. Odkładanie aktualizacji systemu

„Zainstaluję jutro” zamieniło się w tygodnie, a tydzień w miesiąc. W tym czasie aktywnie wykorzystywane luki w systemie są otwarte na atak. Włącz automatyczne aktualizacje — ryzyko, że aktualizacja coś popsuje, jest dziś bardzo małe; ryzyko, że niezaktualizowany system zostanie przejęty, jest realne i rosnące.

5. Brak kopii zapasowej „bo to mało ważne”

Ransomware nie pyta, czy pliki są ważne. Szyfruje cały dysk bez wyjątku. Kopia zapasowa kosztuje kilka godzin konfiguracji raz — i chroni przed scenariuszem, w którym tracisz lata pracy.

6. Podawanie hasła przez telefon

Żaden bank, operator telekomunikacyjny, firma technologiczna ani urząd nie zadzwoni do ciebie i nie poprosi o podanie pełnego hasła, kodu PIN ani numeru karty przez telefon. Jeśli ktoś o to prosi — to atak.

Co zrobić teraz?

Bezpieczeństwo w internecie to nawyk, a nie jednorazowa czynność. Zacznij od tych kroków — możesz zrobić je dziś, bez specjalistycznej wiedzy:

1. Zainstaluj menedżer haseł i zmień hasła do najważniejszych kont (e-mail, bank, sklepy internetowe) na silne, unikalne. Szczegóły: menedżery haseł oraz Jak stworzyć bezpieczne hasło?.
2. Włącz weryfikację dwuetapową na swoim koncie e-mail i w bankowości internetowej. Jak to zrobić krok po kroku: Weryfikacja dwuetapowa (2FA): jak działa i dlaczego warto ją włączyć.
3. Sprawdź, czy twoje dane wyciekły — użyj narzędzia opisanego w Jak sprawdzić, czy moje dane wyciekły?.
4. Upewnij się, że system i aplikacje są aktualne — sprawdź Windows Update, Google Play lub App Store.
5. Zrób kopię zapasową najważniejszych plików — zdjęcia, dokumenty, kontakty.
6. Przeczytaj o phishingu — Jak chronić się przed phishingiem? nauczy cię rozpoznawać oszustwa zanim klikniesz.

Jeśli chcesz pójść krok dalej, zajrzyj do naszych specjalistycznych sekcji: VPN — co to jest i jak działa?, antywirusy i poradniki.