Em primeiro lugar, nunca reutilize senhas. Apenas não faça isso! Há tantas opções melhores - eu recomendo strongmente um aplicativo de armazenamento de senhas, como o LastPass ou similar - e a reutilização de senha é uma ótima maneira de ser mordido, mesmo anos mais tarde. Você pode ter visto as notícias sobre as contas de Mark Zuckerberg serem "hackeadas" recentemente? Isso é o que acontece se você reutilizar as senhas (que é como elas o pegaram).
Agora, para suas perguntas reais:
1) Sim, as pessoas de TI da sua empresa podem fazer isso. Em teoria, eles provavelmente não podem fazê-lo facilmente - suas senhas devem ser armazenadas com segurança de uma maneira que não possa ser revertida para a senha original (uma função unidirecional, como um hash criptográfico, geralmente é usada como parte de uma senha sistema de armazenamento) - mas eles podem fazê-lo se tiverem razão para. Na prática, é provavelmente fácil. Eles também têm o direito de fazê-lo (a menos que você tenha um contrato dizendo o contrário; isso é improvável); sua conta e, na verdade, todo o seu acesso ao computador deles está em seus termos. Alguns contratos de trabalho dizem basicamente que a infraestrutura de TI da empresa e todos os dados nela contidos ou enviados através dela - incluindo senhas - são de propriedade e sujeitos à inspeção do seu empregador. Pode haver ou não exceções para dados de natureza pessoal, projetos clandestinos aprovados usando recursos da empresa ou assim por diante, mas você não deve presumir isso.
2) Isso seria ilegal, pelo menos nos EUA. Acessar um sistema de computador que eles não possuem e que não receberam permissão para acessar é muito contra a lei. A aplicação da lei pode (legalmente) fazê-lo se tiver um mandado, ou possivelmente sem, se for alguém como a NSA, mas uma empresa não governamental não pode (legalmente) fazê-lo, a menos que seja obrigada por uma agência governamental. A resposta de David Schwartz tem bons detalhes aqui.
3) O mesmo que o # 2, embora seja um pouco mais confuso. Eles possuem esse endereço de e-mail (e não exigem sua senha para acessá-la, a menos que sua segurança seja muito mais strong do que eu esperava; geralmente um administrador do servidor pode ler todos os e-mails nesse servidor), Se você usá-lo para fazer uma redefinição de senha que vai para o seu email de trabalho, eles poderiam ler o e-mail de redefinição resultante. Usá-lo (para um site / serviço de terceiros, sem sua permissão) seria novamente ilegal (as mesmas advertências acima), mas talvez um advogado suficientemente bom possa convencer as pessoas de que é permitido por algum motivo. Na prática, você não deve usar sua conta de e-mail de trabalho para qualquer coisa que não queira que seu empregador tenha acesso total.