私はPHPの学習のため、Cookieを使った自動ログインを学んでいます。そこで気になることができたので、質問させてください。

こちらやこちらのサイトを読みまして、自動ログインは

1. 完全にランダムな文字列を作成する。
2. それぞれの文字列をcookieとデータベースに保存する。cookieには暗号化したユーザーIDを紐づける。
3. ユーザーのサイト閲覧時、sessionに値がない場合はcookieからデータを取り出してデータベースと突き合わせる。

という流れで行われるものと理解しました。

そこで疑問に思い調べたのですが、ツールを使えばcookieを書き換えられるんですよね？　これは万に一つの可能性として、悪意を持ったユーザーが自分のPCに保存したcookieを適当に弄れば、別のユーザーとしてログインできるかもしれないという事ですか？
確率論的にあり得ないでしょうか。それとも自分が間違った理解をしているだけで、本当はもっと安全なんですか？　教えてください。