＞その辺はどのようにガードしているのだろうか。
普通のフィッシング対策を取るのが前提です。
Yahooだったらログインシールとか、通常のサイトのようにURLとSSLの状態を確認するとか。 [yahoo.co.jp]

まぁ今は大衆向けのサービスが殆ど存在していないし普及もしていないので問題にはなってませんが、
今後ユーザの多くがOpenIDを体験するようになってそれに慣れてしまうと、
『当サイトはOpenID対応なのでYahoo IDでログインできます　　　だから下のフォームにYahoo IDとPasswordを入れてね』
とか書いてあるサイトに引っかかる可能性は増えるでしょうね。
今は常識的に考えてYahoo以外のサイトはYahooIDではログイン出来ないわけですが、
その前提を崩すのがOpenIDなわけで。

YahooのIDじゃないけど、例えばTwitterは、Webメールのアドレス帳の内容を読み出す目的(自称)で
サインアップ時にgmail等のIDとPasswordを要求するんですが、そういうのが一般化すると色々不味いわけです。

要はOpenIDに限らず信頼できるフォーム以外にパスワードを入れちゃいけないのは変わらない事実なので
それを守る/守らせるように最大限の努力は必要だと思います。
そういう点で、YahooのOpenID対応はもうちょっと説明を入れた方が良いような気がする。
# 個人的にはブラウザへの統合も良いと思うけど。Verisign PIPのような。