Vor allem sollte man niemals das gleiche Passwort für unterschiedliche Sachen verwenden.
So!
Plus 2-Faktor-Authentification im Sinne von 'keine Anmeldung ohne PIN als SMS auf das Handy'.
Sprich: Sobald jemand sich in meinen Account einloggen möchte, geht das nur mit dem an mein Handy geschickten Code.
Eigenes Mailsystem, Catch all aktiviert, zwei Passwörter. Passwort 1 für das Mailsystem, ausreichend kompliziert für Außenstehende und Passwort 2 relativ einfach (und soweit möglich zusätzlich 2FA).
Anmeldung dann mit individuellen Adressen:
fanmag@prickelpit, amazon@prickelpit usw.
Dann sieht man auch ganz gut wer die Mailadressen weiterverkauft oder wo es einen data breach gegeben hat.