Безопасно ли идентифицировать пользователей OpenID по адресу электронной почты, если провайдер надежный?

Я использую DotNetOpenAuth для входа в OpenID. Провайдер Google возвращает разный ClaimedIdentifier в зависимости от сферы деятельности вызывающей стороны (имя хоста + порт).

Безопасно ли для меня проверять логин на основе адреса электронной почты, возвращаемого обратным вызовом аутентификации OpenID, а не самого заявленного идентификатора? Т.е. может ли пользователь подделать свой адрес электронной почты и таким образом получить доступ к аккаунту другого пользователя, если мы будем проверять по электронной почте, а не по заявленному идентификатору?

Я думал, что это можно сделать при условии, что провайдер надежный - т.е. мы можем доверять Google в том, что он не позволит пользователю войти в систему, используя чужой адрес электронной почты.