增加密码加密算法说明

Author: luckyxhu

docs/3-进阶指南/6-用户登录/0-介绍.md

@@ -14,3 +14,16 @@ reactgo -adduser -config config.yaml
 你可以使用该用户登录系统创建其它的用户。
 
 注意上面的命令只用于创建第一个用户，如果已经有存在的用户，那么上面的命令会失败。
+
+## 密码加密算法
+
+ReactGO 的用户密码采用 `Argon2id` HASH 算法加密，它赢得 2015 密码哈希竞赛，简单点说，
+这种算法运算起来很慢，并且需要可配置的内存和CPU，所以暴力破解几乎不太可能。
+
+关于密码安全的资料可以参考:
+
+[OWASP Password Storage Cheat Sheet](https://cheatsheetseries.owasp.org/cheatsheets/Password_Storage_Cheat_Sheet.html)
+
+ReactGO 默认使用的 Argon2id 配置参数运算大约需要 800 毫秒，如果你觉得登录不够快，不要惊讶。
+
+除了用户密码外，其它敏感信息，例如用户的安全操作码，也是采用 Argon2id 算法加密。