会員認証機能を持つサイトの多くは、ログインIDとしてメールアドレスまたは任意で決められるユーザIDが使用されています。しかし、昨今発生している膨大な個人情報漏えい事件の多さを鑑みると、既にかなりの割合のインターネットユーザのログイン情報がブラックマーケットに流通していると考えるべきでしょう。
参考:「パスワードリスト攻撃について

ログインIDを覚えやすいメールアドレスや任意のIDにすることで利便性は向上しますが、サイトを利用し始めたとたん、ブラックマーケットでログイン情報を入手したハッカーによってアカウントを乗っ取られる可能性があります。

したがって、今後、会員認証機能をもつセキュアなサイトを構築や改修する場合には、メールアドレス+パスワードあるいは任意のID+パスワードといった認証仕様は避けるべきだと思います。

具体的には会員登録時、ログインIDとして有無を言わさずサイト独自に生成したIDをユーザに配布する設計にすることです。これだけでブラックマーケットに流通している可能性のあるログイン情報とのマッチングを避けることが出来ますので、セキュリティ対策の第一歩として有効だと思います。

なお、この様なログインIDの形態は、クレジットカード会社等のWebサービス認証仕様として既にオーソドックスなものとなっています。

<加筆 2013.5.18>
さらに、私の経験上ログインIDとパスワードを同一にしている方が少なからずいる様です。その為にメールの認証がスルーされてメールサーバが不正にスパムメール配信に利用されてしまったケースがありました。