Security PAPE如何使OpenID更加安全？

我知道我在阅读提供商身份验证策略扩展规范时遗漏了一些内容：

---

在我看来，您要求开放ID提供者（OP）执行一些额外级别的身份验证。OP然后回复您，告诉您它是否执行了该身份验证。例如，这是如何防止网络钓鱼的呢？OP不能简单地撒谎它做了什么或没有做什么认证吗？

引用您链接的文档中的介绍（重点添加）：

虽然依赖方仅使用技术无法验证通过此扩展表达的任何信息，但这并不限制此扩展的实用性。OpenID中缺少一个单一的必需信任模型，使得依赖方可以使用他们选择的任何标准来决定他们信任哪些提供商——同样，RPs也将决定是否信任来自此类OpenID提供商的认证策略声明

PAPE的存在只是为了请求要使用的身份验证方法，而不是为了验证它。
例如，从技术上来说，无法验证OP是否使用物理多因素身份验证，因此扩展甚至没有尝试这样做