Дано: коннектимся к СУБД через JDBC,
например, DriverManager.getConnection(url, login, password).

Вопрос- можно ли, ПОСЛЕ коннекта гарантированно сделать так, чтобы password (а он типа String (максимум, что можно сделать так, это new String(password), тогда password может быть типа char[])), содержал в себе что угодно, кроме собственно истинного пароля?

Вроде как ни принудительный сбор мусора, ни "затирание" другой строкой такой гарантии не дают?
Прибегать к нативным методам, или нестандартным JVM не хотелось бы.

"передавать строки как StringBuffer, а в конце заменять тело пароля пробелами."

Передавать строки как StringBuffer не получается, getConnection требует String (StringBuffer.toString() - опять же родит строку).

Заменять тело пароля пробелами опять же со String может и не помочь:
"char[] is a mutable object, whereas String is not a mutable object.
* String is statically stored in a special area in memory, whereas char[] is dynamycally allocated."


Да, про передачу пароля в открытом виде по сети, это как раз решить гораздо проще - никто не мешает шифровать трафик.