Se non si utilizza una VPN, ogni sito che si visita che invia o riceve informazioni sensibili (password specialmente ) dovrebbe essere HTTPS anziché solo HTTP. La 's' in HTTPS è sinonimo di sicurezza che viene fornita dall'handshaking e dalla crittografia TLS. In effetti, quando si utilizza TLS (ad esempio, HTTPS, a cui mi riferisco in modo intercambiabile qui) si sta effettivamente utilizzando una VPN separata per ciascun sito.
Potrebbe valere la pena aggiungere un commento sul perché questa è una buona pratica. Ci sono diversi dubbi quando si utilizza un hotspot pubblico. Il primo è che qualche altro utente Wi-Fi ha configurato il proprio dispositivo (laptop, telefono, ...) per ricevere tutto il traffico trasmesso dai sistemi vicini. Questo può anche essere impedito se l'hotspot è configurato correttamente per utilizzare la crittografia, ma non è del tutto affidabile dato che i vecchi protocolli di crittografia Wi-Fi sono attaccabili.
Il secondo rischio è che il dispositivo hotspot stesso sia stato compromesso. Esistono diversi modi in cui ciò può accadere, tra cui la rete wireless, la rete cablata e l'accesso fisico. Un altro attacco è lo spoofing dell'hotspot in modo che gli utenti si connettano al sistema dell'attaccante anziché al servizio legittimo.
Piuttosto che tentare di valutare la sicurezza di ciascun ambiente wireless, ti consiglio di prendere coscienza della sicurezza della comunicazione per ciascuno dei servizi Internet che utilizzi e passare a TLS per tutto ciò che comunica informazioni che non vorresti divulgare pubblicamente. Questa abitudine dovrebbe essere seguita sia per la connessione wireless che per la connessione cablata poiché può anche proteggere dagli attacchi (generalmente rari) che espongono i dati da Internet cablata.
Mi è venuto in mente di aggiungere un paio di dichiarazioni di non responsabilità:
Questa discussione riguarda i dati in transito. Non dare per scontato che i tuoi dati siano ben protetti nel servizio di destinazione solo perché è stato crittografato durante la trasmissione. Tale protezione viene persa una volta giunta a destinazione e devono essere predisposte altre protezioni per l'elaborazione e la memorizzazione di dati sensibili nel sito remoto.
ANCHE, potresti aver visto titoli sui problemi con TLS. Si tratta di implementazioni specifiche o versioni precedenti del protocollo. Se il fornitore di servizi ha correttamente aggiornato e mantenuto il proprio sistema e si sta utilizzando un software moderno e aggiornato (come mantenere aggiornato il software del browser), TLS è un protocollo molto potente e completamente affidabile.