Die meisten persönlichen Angriffe laufen über die E-Mail. Also ist der erste und wichtigste Schritt für die wichtigen Dienste E-Mails exklusiv zu verwenden und soweit wie möglich nicht bekannt zu machen. Wobei wir bei der Situation sind, dass die Vorgehensweise von PayPal grundsätzlich ein Sicherheitsrisiko ist.
Es wäre also sinnvoll wenn Dienste zwei E-Mails erlauben, eines für die Anmeldung und interne Kommunikation mit dem Dienst und eines für die öffentliche Kommunikation.
Ein Zusatznutzen von exklusiven E-Mails ist, dass auf diesen Konten keine Phishing-Mails ankommen können und das alle Mails auf anderen Accounts nicht von dem Service kommen.
Das nächste ist die Länge des Passwortes. Bei Verschlüsselungsalgorithmen wird nur immer die Länge als Sicherheitskriterium angegeben, nie die möglichen verwendbaren Zeichen. Ein Schlüssel ist nicht sicher, weil er bestimmte Zeichen verwendet, sondern nur weil er eine bestimmte Länge hat. Lieber einfach und lang als kompliziert und kurz.