On a tous une multitude de sites internet où l'on a un compte : réseaux sociaux, sites marchands pour achat en ligne, PayPal, Netflix... avec un login/identifiant et un mot de passe.

Une adresse mail sert très souvent de login/identifiant pour l'accès au compte, et la même adresse sert pour beaucoup de sites.

Quid de la sécurité des comptes.?

Même si on n'utilise pas, pour cet usage, la même adresse que son adresse à usage d'échange social courant, et même si le mot de passe est différent sur chaque site, qu'en est-il de la sécurité.?

Si on choisit une adresse qui ne dispose pas de la validation en 2 étapes (double authentification), une adresse @orange par exemple, et en cas de piratage de cette adresse par mot de passe trop faible ou réponse à un Phishing bien ficelé (errare humanum est), le pirate prendra la main sur le compte/adresse  et va s'empresser d'aller sur les sites courants et sociaux. Il fera un essai d'identification avec l'adresse piratée en question, et passera par la procédure de mot de passe oublié si échec. Où le site enverra-t-il le plus souvent le code provisoire ...? A l'adresse piratée, si l'adresse de contact est aussi, comme souvent, l'adresse login/identifiant. Bingo.! Et le pirate prendra la main sur le site/compte en question, changera les paramètres d'identification etc... Avec donc risque de piratage en chaîne. Et il est illusoire de penser qu'avec des mots de passe différents, sur les différents sites, la sécurité est assurée dans ce cas.

Il est parfois difficile ensuite de reprendre soi-même la main sur les sites piratés (nécessité de prouver son identité) .

Comment limiter les risques : 3 préconisations :

1 - De nombreux sites comme PayPal, Facebook... proposent une double authentification pour l'accès au compte. Il est impératif, dans ce cas, d'activer cette option. Car alors, même avec le bon mot de passe le pirate ne pourra pas accéder au compte.

2 - Utiliser comme login une adresse avec double authentification  Plusieurs opérateurs  proposent des comptes/adresses gratuits avec double authentification. C'est le cas des comptes @gmail.
On peut aussi utiliser ses adresses liées à des domaines persos hébergés par exemple chez Gandi ou d'autres gestionnaires, qui proposent cette double authentification. Le coût annuel d'un domaine perso est minime. Quelques euros par an.
Le piratage de ces adresses avec double authentification est rare... même si le risque zéro n'existe pas.

3 - quand le site le propose, mettre comme adresse de contact une adresse différente de l'adresse login/identifiant.

En conclusion:
- la sécurité est maximale avec site et adresse/login avec double authentification.
- la sécurité est minimale avec site et adresse/login sans double authentification.
Et donc il est prudent d'utiliser comme login/identifiant une adresse disposant de la double authentification. Les adresses @orange n'en disposent pas pour l'instant. A vous de choisir en toute connaissance de cause.!

Ceci n'empêche nullement, bien au contraire, de mettre des mots de passe très solides pour ses adresses orange ou les autres et de les changer régulièrement, et de faire de même pour les mots de passe d'accès aux comptes des sites.!
Voir les conseils de @fredolerouge 
https://communaute.orange.fr/t5/Trucs-et-astuces/Votre-mot-de-passe-et-sa-s%C3%A9curit%C3%A9/ta-p/19...
.