Usando um openid em um “sistema fechado”

Eu gostaria de publicar um site apenas para alguns membros da família. Simplificando, como uma mistura de fotos e vídeos da família. Eu quero que ele permaneça privado, no entanto.

Eu estava pensando em usar o openid para o processo de login porque eu realmente queria evitar:

1. Armazenando nomes de usuário e senhas (Demasiada manutenção)
2. Criando um URL ofuscado que pode ser selecionado pela barra de ferramentas (Não privado o suficiente)
3. Criando uma senha para acessar a página (Eu tive usuários incapazes de gerenciar isso)

Então, eu estava esperando usar o openid para dizer que meu irmão fez login usando sua conta do Google.

Mas pelo que vi openid usado, não impediria que outros acessassem o site. Eu estava pensando que talvez pudesse limitá-lo manualmente, mas este parágrafo das melhores práticas da plataforma de aplicativos do Google me faz pensar duas vezes :

From a protocol perspective, both logins to the two IDPs are legitimate and the attributes returned by the 2nd IDP appear identical — the same email address, name, and so on. The only thing that differs between the two requests is the user's claimed identity. In fact, relying parties are required to verify that IDPs only return identities that they're authoritative to prevent a rogue IDP from asserting identities from other providers. But nothing prevents a rogue IDP from asserting attributes like names and email address that may not be truthful.

O openid é a ferramenta "certa" para o que desejo fazer? (Ter uma interface web privada que requer logins, mas não gerenciamento de usuários além da identificação de membros da família)