Bei VPN geht es üblicherweise nicht schwerpunktmässig um "den Anbieter", das können ja vielfältige sein
Stell Dir vor, Du sitzt im Café, in der Bahn, oder sonst wo, wo es kostenloses WLAN gibt. Dort surfst du mit Handy oder Notebook. Manche Dienste, die Du benutzt, benutzen ordentlich https, manche vielleicht nicht (ja, gibt es leider immer noch). Da kann der lokale Anbieter dann auch schon mal ein Passwort mitlesen. Und vielleicht vertraust Du ja noch dem Café als Anbieter, aber bekommst Du es mit, wenn jemand böswillig einen Access Point mit gleicher SSID dort aufstellt, und Dein Gerät sich damit verbindet? Und hast Du Dich mit Deinen Geräten wirklich noch nie mit einem offenen AP verbunden? Jedes WLAN-Gerät ist ja ein Plappermaul und spricht ungefragt erstmal aus, mit welchen SSIDs es schonmal verbunden war, angreifende Hardware weiß also automatisch genau, welche SSIDs sie anbieten kann, um eine automatische Verbindung zu versuchen.
Und spätestens da bist Du per WLAN auch zuhause für unfreundliche Nachbarn angreifbar, auch wenn das natürlich deutlich weniger wahrscheinlich ist als jemand, der an einem öffentlichen AP mal eben automatisiert Accounts zu klauen versucht.
Zugegeben: unterschiedliche Geräte implementieren unterschiedliche Methoden, um gegen sowas zu "schützen". Oben beschriebene Angreifbarkeit wäre für jedes WLAN-Gerät zu prüfen.
Die Software dafür ist wirklich nicht schwer zu bekommen und benutzen. Mit
Kali Linux manuell testbar für ethische Zwecke, für automatisierte Ausnutzung gibt's da leider auch quasi fertiges.
Also:
- Zuhause per LAN-Kabel am Router - unnötig.
- Unterwegs per WLAN - wenn niemals vorher mit offenem WLAN verbunden und Zugriff auf Dienste mit Anmeldung nur über SSL und mit 2FA - auch weitesgehend unnötig.
- Unterwegs per WLAN Zugriff auf Webseiten z.B. mit Anmeldung ohne SSL (also nur http, nicht https) - je nach Seite leichtsinnig ohne VPN.
Ich würde den WLAN-Passwort-Cache zurücksetzen (um zu verhindern dass noch vergessene offene WLAN-SSIDs drinstehen), überall wo möglich 2FA aktivieren, Mailaccounts etc. auf mobilen Geräten nur über SSL einrichten, und bei Logins auf sichere Verbindungen achten, dann besteht "höchstens" ein Tracking-Risiko.
Ansonsten bin ich halt paranoider Sicherheitsnerd und würde alleine schon deshalb nicht von einem VPN abraten