パスワードなんてスパコン使って本気で解析すればいずれ破られるもの、というぼんやりとした認識があります。世の中にはパスワードハックのコードもあるとか。
セキュリティリスクTop10について調べていて見つけた資料に対策が載っていました。セキュリティリスクTop10がざっくりなのに比べて、こちらは非常に具体的。

• APPLSYSPUBにFND_USERのSELECT権限を与えない
• GUESTのパスワードはデフォルトから変更する
• インストールで作成されるEBSユーザのパスワードは全て変える
• インストールで作成されるDBユーザのパスワードは全て変える
• 新規作成するEBSユーザのパスワードは破られにくいパスワードにする*1
• SERVER SECURITYは「SECURE」に設定する*2
• MANAGED SQL*NET ACCESSを設定する*3
• FND_USERとFND_ORACLE_USERIDへのアクセスを制限する*4
• クローン環境のEBSユーザのパスワードは全て変更する
• クローン環境のGUESTのパスワードは変更する
• クローン環境のDBユーザのパスワードは全て変更する

参考資料はこちら。11iがターゲット、かつ2007年の資料ですがR12でも通用する内容です。