Androidとかのソーシャルゲームって
ユーザーがアカウントIDやパスワード入力せずに
クライアントが直接認証しますよね?

ああいうのって簡単にroot取られるAndroidとかでどうやって成りすまし対策してるんでしょうか?

ユーザーIDとパスワードをクライアントが持っててサーバーでパスワードをハッシュ化してIDとハッシュ値で認証してるんですか?