Não, o usuário é apenas ***parte*** do processo.

Quer um exemplo prático?

Na época do UOL, ao criar um e-mail a senha era gerada pelo próprio UOL e continha apenas 8 caracteres.

De que adiantaria se o pobre usuário a armazenasse em um bunker ou em um cofre blindado? Nada.

A segurança depende do sistema e do usuário. Isso é até bem óbvio.