Dado o acesso físico a uma máquina Windows, posso fazer o que quiser. Não importa que eu não saiba suas senhas. Eu nem preciso tê-los.
É incrivelmente fácil alterar uma senha no Windows (até 7, pelo menos. Não testado em versões altas) se você souber o que fazer.
Você começa baixando um sistema ao vivo (geralmente uma distribuição do Linux). Uma distribuição ao vivo é executada a partir da unidade de DVD ou USB em que é copiada e é executada principalmente a partir da RAM. De lá, eu posso acessar o disco rígido do computador host e ver os arquivos que eu quero, fazer cópias de documentos, fotos, o que você tem.
Se eu quiser executar um programa do Windows, também posso usar a mídia ao vivo para copiar o executável de prompt de comando para o executável de teclas fixas (para que ele tenha o nome do programa de teclas autoadesivas, mas execute o prompt de comando) e reinicialize no Windows. Então eu só tenho que mudar de spam algumas vezes e pronto, uma janela de prompt de comando com privilégios de administrador se abre. De lá, posso alterar a senha de um usuário, fechar a janela e fazer login como esse usuário, ou criar meu próprio usuário como administrador e fazer login como eles. De lá eu ainda posso acessar todos os seus arquivos enquanto todos são capazes de instalar programas, fazer alterações de configuração, o que mais eu quiser. E a linha de comando que eu mais preciso saber é o comando para alterar uma senha e talvez criar um usuário.
Segunda resposta: as pessoas foram condicionadas a acreditar que uma senha de 8 caracteres aleatórios é melhor que uma senha longa com palavras nela. Mas se uma pessoa for bruta forçando um login, 8 caracteres ainda são oito caracteres. Uma nova tendência é usar uma frase secreta de várias palavras não relacionadas. A frase "correcthorsebatterystaple" seria mais segura que $ jIg @ 0z? porque é aproximadamente 3 vezes mais longo, com três vezes o número de caracteres para adivinhar corretamente. Agora, a frase que usei veio de um quadrinho XKCD e agora deve ser considerada insegura, mas se você escolher apenas quatro palavras aleatórias de uma cópia do dicionário de Webster, lá vai você. Ou use um gerenciador de senhas para salvar suas senhas de 26 caracteres aleatórios.
Existem outras maneiras melhores de criar senhas seguras. O primeiro é usar um gerenciador de senhas para armazenar senhas ridiculamente longas de caracteres aleatórios: ele lembra as senhas para que você não precise. O código de senha de cima ainda deve ser mantido em mente ao fazer a senha mestra. Como a senha protege todas / quase todas as outras senhas, ela realmente precisa ser segura. Eu pessoalmente uso uma frase com mais de 50 caracteres e, por ser uma sentença, é muito mais fácil de lembrar.
O argumento da frase secreta também deve ser mantido em mente ao criar senhas para o Windows e outros sistemas nos quais você não teria acesso a um gerenciador de senhas. Se, no entanto, é para o seu trabalho e eles limitam o comprimento da sua senha a 16 caracteres ou menos, uma senha de caracteres aleatórios seria mais segura do que palavras minúsculas aleatórias.
(16 caracteres são bastante arbitrários. Eu memorizei senhas aleatórias com até 26 caracteres, de modo que poderia ser considerado o limite superior.)
Então vem a engenharia social . Muitos formulários de recuperação de senha exigem o envio de algo para o seu e - mail ou a resposta a algumas perguntas pessoais, como "Onde você foi para a escola primária?" e "Qual é o nome de solteira da sua mãe?" Por causa das mídias sociais, as respostas para esses tipos de perguntas são facilmente encontradas no Facebook. Um hacker social também poderia criar uma conversa para obter as informações de você. É também por isso que senhas pessoais como 'iheartfido' são ruins, porque alguém pode adivinhar se elas sabem alguma coisa sobre você.
O conselho geral é responder a essas perguntas de segurança como se você fosse outra pessoa - sua melhor amiga, uma celebridade, alguém para quem você sabia as respostas das perguntas. Dessa forma, se você está sendo projetado socialmente para as respostas a essas perguntas, elas não serão (não devem) ser as mesmas que as perguntas de segurança estão procurando.
Por fim, não deixe senhas em um arquivo passwords.txt na sua área de trabalho. Por favor.