正如Jon Skeet所说，除了使用反射，没有其他方法。

然而，如果反射是您的选择，您可以这样做。

public static void main(String[] args) {
    System.out.println("please enter a password");
    // don't actually do this, this is an example only.
    Scanner in = new Scanner(System.in);
    String password = in.nextLine();
    usePassword(password);

    clearString(password);

    System.out.println("password: '" + password + "'");
}

private static void usePassword(String password) {

}

private static void clearString(String password) {
    try {
        Field value = String.class.getDeclaredField("value");
        value.setAccessible(true);
        char[] chars = (char[]) value.get(password);
        Arrays.fill(chars, '*');
    } catch (Exception e) {
        throw new AssertionError(e);
    }
}

运行时

please enter a password
hello world
password: '***********'

注意：如果String的char[]作为GC循环的一部分被复制，那么前一个副本可能在内存中的某个位置。

这个旧副本不会出现在堆转储中，但如果您可以直接访问进程的原始内存，您可以看到它。通常，您应该避免任何人有这样的访问权限。

字符串是不可变的，它将进入字符串池。一旦写入，就无法覆盖。

char[]是一个数组，当您使用密码时，应该覆盖该数组，这是应该这样做的：

char[] passw = request.getPassword().toCharArray()
if (comparePasswords(dbPassword, passw) {
  allowUser = true;
  cleanPassword(passw);
  cleanPassword(dbPassword);
  passw = null;
}

private static void cleanPassword (char[] pass) {

  Arrays.fill(pass, '0');
}

攻击者可以使用它的一种情况是，当JVM崩溃并生成内存转储时，您将能够看到密码。

这不一定是恶意的外部攻击者。这可能是一个支持用户，可以访问服务器进行监控。他/她可以偷看垃圾堆并找到密码。

Java中的字符串是不可变的。因此，无论何时创建字符串，它都将保留在内存中，直到被垃圾收集。因此，任何访问内存的人都可以读取字符串的值。

如果字符串的值被修改，那么它将最终创建一个新字符串。因此，原始值和修改后的值都保留在内存中，直到被垃圾收集。

使用字符数组，一旦达到密码的目的，就可以修改或删除数组的内容。在修改数组之后，甚至在垃圾收集开始之前，都不会在内存中找到数组的原始内容。

出于安全考虑，最好将密码存储为字符数组。

有些人认为，一旦您不再需要密码，就必须覆盖用于存储密码的内存。这缩短了攻击者从系统读取密码的时间窗口，并完全忽略了这样一个事实，即攻击者已经需要足够的访问权限来劫持JVM内存。具有如此多访问权限的攻击者可以捕获您的关键事件，使其完全无用（AFAIK，所以如果我错了，请纠正我）。

使现代化

感谢这些评论，我不得不更新我的答案。显然，在两种情况下，这可以增加（非常）轻微的安全改进，因为它可以减少密码在硬盘上的时间。但我仍然认为这对大多数用例来说都是过度的。

您的目标系统可能配置不正确，或者您必须假设它是错误的，并且您必须对核心转储（如果系统不是由管理员管理的，则可能是有效的）心存疑虑。您的软件必须过于偏执，以防止攻击者使用TrueCrypt（已停产）、VeraCrypt或CipherShed等工具访问硬件时发生数据泄漏。

如果可能，禁用内核转储和交换文件可以解决这两个问题。然而，它们需要管理员权限，可能会减少功能（使用的内存更少），从运行系统中取出RAM仍然是一个值得关注的问题。

字符串是不可变的。这意味着一旦创建了String，如果另一个进程可以转储内存，那么在垃圾收集开始之前，就没有办法（除了反射之外）清除数据。

使用数组，您可以在完成后显式擦除数据。您可以用任何您喜欢的内容覆盖数组，并且密码不会出现在系统中的任何位置，甚至在垃圾收集之前。

是的，这是一个安全问题，但即使使用char[]也只会减少攻击者的机会窗口，而且只针对这种特定类型的攻击。

如注释中所述，垃圾收集器移动的数组可能会在内存中留下数据的零散副本。我认为这是特定于实现的——垃圾收集器可以在运行时清除所有内存，以避免这种情况。即使这样，char[]仍有一段时间包含实际字符作为攻击窗口。

字符串是不可变的，一旦创建就不能更改。将密码创建为字符串将在堆或字符串池中留下对密码的零散引用。现在，如果有人对Java进程进行堆转储并仔细扫描，他可能会猜出密码。当然，这些未使用的字符串将被垃圾收集，但这取决于GC何时启动。

另一方面，一旦完成身份验证，char[]是可变的，您可以用任何字符（如所有M或反斜杠）覆盖它们。现在，即使有人进行了堆转储，他也可能无法获取当前未使用的密码。这在某种意义上为您提供了更多的控制，比如自己清除Object内容，而不是等待GC执行。