关于设备绑定/登录安全方面的疑惑

独孤垂钓2003

刚开始接触机智云，有一些设备访问安全方面的问题想不清楚，请各位帮忙解惑哈。

目前测试过程：
1. 从云端生成esp8266 SoC的代码，下载到本地后，不做任何修改，直接编译生成image，下载到8266的WiFi模组（自己的板子，不是gokit，没有那两个按键），上电启动；
2. 下载APICoud版本的开源APP demo，修改appId，ProductKey之类的定义后，重新编译生成Android版本的安装包；
3.  手机扫描二维码安装APP后，注册账号，登录，然后添加设备，选择乐鑫，输入外部AP的SSID/PWD，进入配置过程，成功后进到设备列表（云端可以看到设备上线，串口打印心跳交互信息）。APP发现未绑定的设备，点击绑定设备，绑定成功，显示局域网在线。再点击该设备，显示登陆设备成功，进入到设备控制页面。
4. 用另外一台手机，安装APP后不注册任何账号，直接从添加设备开始，也可以操作成功，最后进入到设备控制页面。

好了，现在问题来了：两台手机的APP，从添加设备，绑定设备到最后登录设备进入控制界面，整个过程没有要求用户输入密码什么的，怎么保证我的设备安全哈？为什么只要装个APP就能够直接登陆设备进行控制？

为什么不能通过用户自己设定设备的访问密码来进行本地或远程的访问自己的设备？如果可以，应该做怎么配置？

请各位不令赐教哈。