HTML5とJava Scriptを使って、
ハイブリッドアプリを開発しています。

アプリ開発プラットフォームは以下。
http://doc.applican.com/

またDBサーバー(BaaS)として以下を使用。
http://www.appiaries.com/jp/

構成としてはクライアントとDBサーバーが
applicanというプラットフォームを通して
データ通信をしています。

諸事情によりアプリケーションサーバーなどはなく、
データのやり取りはBaaSのAPIを使用しています。

開発する過程で要望により、
アプリのログインで使用するメールアドレスとパスワードを
端末で保存する必要が出てきました。

セキュティの観点からはIDやパスワードは
端末へ保存しないほうがいいのは理解していますが、
アプリケーションサーバーなどがなく、
サーバーサイドの開発ができないため、
諸事情でそうせざるを得ない状況だと思っています。
(何か他の案があれば、教えてもらいたいです)

・ログインIDとメールアドレスの紐付け
・自動ログイン機能
などのためです。

ログインIDとメールアドレスの紐付けは、
ユーザーはログイン等はメールアドレスで行いますが、
BaaS側では別に固有のログインIDが振られているために、
ログインなどでメールアドレスからIDを割り出す際に
必要になります。

いまの構成でなるべくセキュアにしたいのですが、
以下をどうしようかと悩んでいます。

・IDやパスワードはクライアント端末で暗号化することになるが、
暗号化の鍵をどこにどう保存するか
・IDやパスワードを端末のどこにどう保存しておくのがいいか

現状で言えば、暗号化の鍵もIDやパスワードも
applicanの以下の機能を使って保存するしか、
ないかなぁと思っています。
http://doc.applican.com/SimpleStorage/index.html

いまの構成のままで、
この辺りでセキュアな実装ができるようなアドバイスがあれば、
教えていただけますと幸いです。

よろしくお願いいたします。