Respostas:
Eles não podem, pois você envia sua senha apenas ao seu provedor OpenID. No entanto, existe o risco de um site enviar você a um provedor falso que colete sua senha; portanto, é importante verificar novamente se o URI em que você está está correto antes de inserir sua senha.
O ponto principal do ID aberto é que ele o leva a um site seguro que solicita sua senha (seu provedor de ID aberto), que envia apenas as informações que você permite ao site que solicita as informações (por exemplo, endereço de e-mail, nome etc.) .).
Para uma explicação detalhada de como funciona, consulte o artigo da Wikipedia sobre o que acontece durante o processo de login .
Também é importante considerar a alternativa. É sabido que as pessoas reutilizam nomes de contas e senhas na maioria dos sites. Imagine um site maligno que incentive as pessoas a criar contas. Um usuário cria uma conta de john_doe / xyzzy. O site maligno agora pode verificar se essas credenciais funcionam no amazon.com, ebay.com etc. Uso o google como meu provedor OpenId e presumo que é improvável que o Google se envolva em pequenos furtos como esse, onde, como proprietário de um fórum aleatório poderia.