Los posibles métodos de intrusión para lograr esto podrían ser un restablecimiento completo de la computadora, cambiar la prioridad de inicio e insertar medios con código capaz de omitir los requisitos de credenciales de inicio de sesión.
(El CD de arranque de Hiren o F4UCD para Win7 y versiones anteriores pueden hacer esto).
Sin reiniciar la computadora, como dijo GZBK, si la reproducción automática o la ejecución automática están habilitadas, se puede reconocer un USB independientemente de que la computadora esté bloqueada.
Un método adicional requeriría una vulnerabilidad de 0 días o no parcheada que usa la IP y / o MAC como un punto de intrusión, asegurándose de que el código malicioso tenga capacidades de inyección remota de código. Con esta RAT implementada en el sistema a través de la red, no tendría que omitir el inicio de sesión, porque ya tendría acceso.
A efectos prácticos, la respuesta a su pregunta principal es "segura, pero con fallas".
Es mejor usarla y usar una contraseña difícil, que no usar ninguna.