支付宝、QQ的手势密码思路

支付宝手机端，第一次登录后，会提示输入手势密码。之后每次就不用很麻烦地输入密码了，而是手势密码就可以登录了，也可以查询一些东西，除了支付的时候还要输入支付密码。

它这个手势密码是存在本地的（因为清空应用数据，就要重新登录了）。那么，当它输入正确的手势密码后，向服务器发送登录请求，这时候应该不会带上原本用户的密码吧（猜想真正的密码不会存在本地）。

那它服务器端是专门对手势密码有个登录口呢，还是说一直保持着session（应该不可能），还是把密码存在本地加密（更不可能），抑或是有一种更好地解决方法。
请高手指点畅谈~ --------------------编程问答-------------------- --------------------编程问答-------------------- 会不会是验证机器编码，密匙之类的别的信息，手势只是验证当时用一下就不用了。 --------------------编程问答-------------------- 机器和手势联合组成某个密码，用于验证呢？
我感觉不会和支付宝密码有关系，不然安全性太差 --------------------编程问答-------------------- 我也觉得跟机器码肯定是有关系的

补充：移动开发 ,  Android