前面的很多答案都很好。还有一点我在假设（如果我错了，请纠正我）。

默认情况下，Java使用UTF-16存储字符串。使用字符数组、char[]数组，有助于使用Unicode、区域字符等。该技术允许所有字符集在存储密码时受到同等尊重，因此不会因字符集混淆而引发某些加密问题。最后，使用字符数组，我们可以将密码数组转换为所需的字符集字符串。

编辑：经过一年的安全研究后，我回到了这个答案，我意识到这意味着你可能会比较明文密码。请不要。使用一个安全的单向散列和一个合理的迭代次数。考虑使用图书馆：这东西很难弄对！

原始答案：String.equals（）使用短路求值，因此容易受到定时攻击，这一事实如何？这可能不太可能，但理论上可以对密码比较计时，以确定正确的字符序列。

public boolean equals(Object anObject) {
    if (this == anObject) {
        return true;
    }
    if (anObject instanceof String) {
        String anotherString = (String)anObject;
        int n = value.length;
        // Quits here if Strings are different lengths.
        if (n == anotherString.value.length) {
            char v1[] = value;
            char v2[] = anotherString.value;
            int i = 0;
            // Quits here at first different character.
            while (n-- != 0) {
                if (v1[i] != v2[i])
                    return false;
                i++;
            }
            return true;
        }
    }
    return false;
}

关于定时攻击的更多资源：

定时攻击的教训关于信息安全堆栈交换上定时攻击的讨论当然，定时攻击维基百科页面

虽然这里的其他建议似乎有效，但还有一个很好的理由。使用纯字符串时，意外将密码打印到日志、监视器或其他不安全的地方的可能性要大得多。char[]不那么脆弱。

考虑一下：

public static void main(String[] args) {
    Object pw = "Password";
    System.out.println("String: " + pw);

    pw = "Password".toCharArray();
    System.out.println("Array: " + pw);
}

打印：

String: Password
Array: [C@5829428e

有些人认为，一旦您不再需要密码，就必须覆盖用于存储密码的内存。这缩短了攻击者从系统读取密码的时间窗口，并完全忽略了这样一个事实，即攻击者已经需要足够的访问权限来劫持JVM内存。具有如此多访问权限的攻击者可以捕获您的关键事件，使其完全无用（AFAIK，所以如果我错了，请纠正我）。

使现代化

感谢这些评论，我不得不更新我的答案。显然，在两种情况下，这可以增加（非常）轻微的安全改进，因为它可以减少密码在硬盘上的时间。但我仍然认为这对大多数用例来说都是过度的。

您的目标系统可能配置不正确，或者您必须假设它是错误的，并且您必须对核心转储（如果系统不是由管理员管理的，则可能是有效的）心存疑虑。您的软件必须过于偏执，以防止攻击者使用TrueCrypt（已停产）、VeraCrypt或CipherShed等工具访问硬件时发生数据泄漏。

如果可能，禁用内核转储和交换文件可以解决这两个问题。然而，它们需要管理员权限，可能会减少功能（使用的内存更少），从运行系统中取出RAM仍然是一个值得关注的问题。

答案已经给出了，但我想与大家分享一下我最近在Java标准库中发现的一个问题。尽管他们现在非常小心地将密码字符串替换为随处可见的char[]（这当然是一件好事），但在从内存中清除密码时，其他安全关键数据似乎被忽略了。

我正在考虑例如PrivateKey类。考虑一个场景，您将从PKCS#12文件加载一个专用RSA密钥，并使用它执行一些操作。现在，在这种情况下，只要对密钥文件的物理访问受到适当限制，单独嗅探密码对您没有多大帮助。作为一名攻击者，如果您直接获得密钥而不是密码，您的情况会更好。所需的信息可能是多方面的泄漏，核心转储、调试器会话或交换文件只是一些示例。

事实证明，没有任何东西可以让您从内存中清除PrivateKey的私有信息，因为没有API可以让您擦除构成相应信息的字节。

这是一个糟糕的情况，因为本文描述了这种情况如何被潜在利用。

例如，OpenSSL库在释放私钥之前会覆盖关键内存段。由于Java是垃圾收集的，所以我们需要显式方法来清除Java密钥的私有信息并使其无效，这些私有信息将在使用密钥后立即应用。

除非您在使用后手动清理，否则char数组不会为您提供字符串，我还没有看到有人真正这样做。所以对我来说，char[]和String的偏好有点夸张。

看看这里广泛使用的SpringSecurity库，问问你自己——SpringSecurity的家伙们是无能还是字符密码根本没有意义。当一些讨厌的黑客从你的RAM中获取内存转储时，即使你使用复杂的方法隐藏密码，也要确保他/她会得到所有密码。

然而，Java一直在变化，一些可怕的特性，如Java8的字符串重复数据消除特性，可能会在您不知情的情况下实习字符串对象。但这是一个不同的对话。