Depende, existem várias formas de se passar por alguém sem saber a senha da pessoa.

Uma delas é o roubo de cookies de navegador, onde o invasor consegue descobrir o "ID" da sua sessão e usar na máquina dele. Basicamente o que ele diz pro Servidor é que quem está acessando os dados é você, quando na verdade é ele.

Vamos começar nomeando coisas:
- ID = Código Identificador de algo dentro de um sistema (Pode-se pensar como um código que irá referenciar uma entidade do sistema, sendo assim, um ID de usuário, seria um código que somente aquele usuário tem e que serve para identificá-lo).

Computadores utilizam valores em comum para se comunicar. Quando você efetua login em um Sistema Web (como esse site), o que o Servidor faz é te retornar um ID da sessão atual (caso você tenha logado com sucesso) para que o computador fique enviando esse ID ao invés de salvar o email e senha na máquina para realizar o reconhecimento em cada página (pois é uma brecha muito grande ficar passando o email/senha, por cada requisição Web).

O servidor, então, quando te retorna aquele ID de sessão, cria um arquivo para salvar todos os dados referentes à aquela sessão (por exemplo, seu ID de usuário, seu Nome de usuário, etc.), cujo o nome do arquivo, é o próprio ID da sessão (se não me engano). Então, sempre que um dado precisa ser salvo naquela sessão, para evitar buscar no banco de dados, o arquivo é aberto, e mais valores são salvos (claro, vai depender do que o Desenvolvedor quiser salvar e for útil para a aplicação).

Se alguém roubar de ti esse ID da sessão (através de um vírus que inspeciona todas as requisições da sua máquina, um "Sniffer") e se o criminoso decidir enviar esse ID de sessão em todas as requisições que ele fizer no dado Sistema Web, então ele conseguirá se passar por você (afinal de contas, o servidor não tem como saber que não é você, está usando o seu mesmo ID de sessão).

Hoje é pouco provável que tenha sido roubo de senhas, na minha visão.
Mas é sempre bom trocar né