В Java строки (String) являются неизменяемыми (immutable). Это значит, что после создания строкового объекта его содержимое нельзя изменить, и оно хранится в памяти до тех пор, пока объект существует и не будет собран сборщиком мусора. Если пароль хранится в строке, он может оставаться в памяти дольше, чем нужно, что повышает риск его утечки через дампы памяти или другие методы.

Массив символов (char[]) можно явно очистить после использования, например, заполнить нулями или пробелами, тем самым удаляя пароль из памяти сразу после работы с ним. Это повышает безопасность хранения паролей в памяти.

Пример:

char[] password = getPasswordFromInput();
// Используем пароль
// ...
// Очистка массива после использования
Arrays.fill(password, '\0');

Почему рекомендуется хранить пароли в массиве символов вместо строковых объектов?