Risposte:
Non possono, poiché invii solo la tua password al tuo provider OpenID. Tuttavia, esiste il rischio che un sito possa inviarti a un provider falso che raccoglie la tua password, quindi è importante verificare attentamente che l'URI in cui ti trovi sia corretto prima di inserire la password.
L'intero punto dell'ID aperto è che ti porta a un sito Web sicuro che richiede la tua password (il tuo provider di ID aperto), che quindi invia solo le informazioni che autorizzi al sito richiedendo le informazioni (ad esempio indirizzo e-mail, nome, ecc. .).
Per una spiegazione dettagliata di come funziona, consulta l'articolo di Wikipedia su cosa succede durante il processo di accesso .
È anche importante considerare l'alternativa. È noto che le persone riutilizzano i nomi degli account e le password sulla maggior parte dei siti. Immagina un sito malvagio che incoraggi le persone a creare account. Un utente crea un account di john_doe / xyzzy. Il sito malvagio ora può andare a vedere se quelle credenziali funzionano su amazon.com, ebay.com ecc. Uso google come mio provider OpenId e presumo che sia improbabile che google esegua piccoli furti come quello, dove come proprietario di un forum casuale potrebbe.