Il wifi pubblico pone un rischio per la sicurezza degli accessi esistenti?

Se il sito che stai visitando utilizza HTTPS per l'intero sito (non solo la pagina di accesso) e verifichi che in realtà stia utilizzando HTTPS, con un certificato valido (ad esempio, nessun avviso su un certificato errato) ed è il URL a cui vuoi andare, quindi sei al sicuro.

(Tranne che contro avversari estremamente forti come i governi che hanno la capacità di costringere le autorità di certificazione a firmare certificati fraudolenti o dare loro la possibilità di firmarli. Ma a questo punto, questi forti avversari possono fare questi cambiamenti malevoli a livello di ISP, quindi sei fregato in entrambi i casi).

Se il sito non utilizza HTTPS, i dati inviati o ricevuti potrebbero essere intercettati o facilmente modificati da un utente malintenzionato.

Dovresti anche essere estremamente cauto nel download e nell'installazione di qualsiasi cosa che non sia passata su HTTPS quando si è su un Wi-Fi pubblico (anche se probabilmente dovresti essere cauto a riguardo). Ad esempio, se installi un plug-in del browser o istruzioni della riga di comando che arrivano tramite HTTP normale, è possibile che un utente malintenzionato modifichi il plug-in (ad esempio esegua su tutte le pagine Web e invii ogni invio di moduli a un dominio casuale che controlla per rubare le tue password / informazioni sulla carta di credito / ecc.)

EDIT: While I appreciate the answers so far they seem geared towards real computers and I want to clarify I'm thinking about my Android phone. Thus my question about apps, because I have no idea how to tell if an app is using HTTPS or what.

Potresti provare a utilizzare un rilevatore di pacchetti di rete (come wireshark) per verificare se le app comunicano utilizzando solo la crittografia (ad esempio, cerca il protocollo HTTPS). La maggior parte dei principali fornitori dovrebbe utilizzare HTTPS per le proprie app se utilizzano HTTPS per il proprio sito Web in qualsiasi altro luogo, ma non si può essere sicuri (ed è più sicuro supporre che non lo sia). Hai citato Dropbox e Dropbox ad esempio dichiara di utilizzare la crittografia di rete (TLS) ovunque tra le loro app, quindi sei sicuro di usare Dropbox (presumendo che stiano verificando i certificati correttamente).

Se non sei sicuro di un'app mobile, puoi invece utilizzare il sito HTTPS mobile nel tuo browser web.

But what if I logged into a service on my private home network, never cleared the session and want to continue using the service from public wifi after I leave the house?

No, non farebbe molta differenza.

Ciò che fa la differenza, però, è assicurarsi che il sito che stai visitando utilizzi HTTPS e che il tuo client di posta elettronica (se usi il client di posta elettronica o mobile) sia configurato per utilizzare TLS per accedere al tuo server di posta.

Scopri come verificare il certificato SSL (non è necessario andare per i calcoli matematici, ma solo la verifica in base a ciò che il browser ti dice quando fai clic sull'icona del lucchetto sulla barra degli indirizzi). Verifica sempre il certificato del server e indica che il tuo nome di dominio è corretto prima di inserire le tue credenziali.

Inoltre, questo dovrebbe essere ovvio, ma non ignorare gli avvisi di sicurezza che il browser o il sistema operativo ti stanno dicendo. Se il browser dice che non può stabilire una connessione TLS sicura, lascia la tua attività fino a tardi.

Non utilizzare servizi che gestiscono informazioni personali che non supportano HTTPS / TLS durante l'utilizzo di una rete non affidabile, non utilizzarli affatto.

Inoltre, assicurati di non riutilizzare la password tra diversi siti web. Particolarmente pericoloso è il riutilizzo della password tra siti che utilizzano https e altri no.

Vuoi anche assicurarti che il tuo sistema sia aggiornato prima di uscire di casa. Se si desidera aggiornare o installare il software, assicurarsi di scaricare il software tramite connessione protetta. Ci sono modi per verificare l'autenticità di software / file scaricati su connessioni non sicure, controllandone la firma crittografica, ma se devi fare questa domanda, ti consiglio semplicemente di non provare nemmeno a farlo perché è facile ottenere questo è sbagliato e compromette la tua sicurezza.

Assicurati di digitare https: // quando accedi a qualsiasi sito Web sensibile, per prevenire il tipo di attacco sslstrip. In alternativa, aggiungi il sito ai segnalibri o utilizza HTTPSEverywhere.

Tutti quelli sopra indicati sono difficili da fare in modo coerente ed è facile commettere errori. Per maggiore sicurezza, potresti voler abilitare l'autenticazione TOTP Two Factor (ad esempio l'app Google Authenticator) per i servizi che li forniscono, in modo che anche se scivolassi e qualcuno passasse la password, non sarebbero comunque in grado di accedere al tuo account senza rubare il tuo secondo fattore, di solito il tuo telefono cellulare. Molti dei principali servizi Web ora supportano 2FA, ad esempio Dropbox, Google.