数字遗产管理指南：从密码恢复到账户继承的技术实践

Adrian Crenshaw

本文的主题并不轻松，但我被告知这是必要的。2017年初，我的叔叔和母亲在相隔约十二天内相继去世。我是叔叔指定的遗嘱执行人，因此我在处理遗产方面有一些经验。他们都没有庞大的数字足迹。2018年，我听说一位33岁因癌症去世的男子有大量数字足迹，这让我开始思考如何将数字遗产传递给亲人。除了我有限的个人经验，我还从Andrew Kalat（@Lerg）的Shmoocon 2016演讲和Kyle Bubp（@kylebubp）的BSides Cincinnati 2018演讲中汲取了想法（两者链接在文章底部，Kalat先生还写了一本名为《管理数字遗产》的书）。本文既适用于那些想为亲人做准备以简化他们去世后生活的人，也适用于必须处理逝者信息的亲人。

虽然我不是律师，不能提供法律建议，但我可以给任何想为亲人简化事务的人的第一个建议是：立下遗嘱和生前遗嘱，并声明一名执行人来执行。生前遗嘱部分很重要，需要考虑。记住，痴呆或植物人状态是问题，一个人可能活着但无法记住或传递所需的密码和账户信息。如果某人不是配偶，声明遗嘱执行人变得更加重要，因为随机家庭成员除非是执行人，否则很难完成法律请求。你需要获取多份死亡证明，通常可以向殡仪馆负责人索取或从州政府订购。有些地方只会复印并归还原件，其他可能需要原件。我假设司法管辖区不同，但在我情况下，我必须携带死亡证明和遗嘱副本去找律师，他们向县法院申请给我一份遗嘱认证书。显然，这有几个不同名称：“遗嘱认证书”、“管理书”或“代表书”。通常，为了申领银行账户、投资账户等，官员需要查看死亡证明和遗嘱认证书，以证明你有法律权威代表逝者行事。

对于那些设计遗嘱的人，为了亲人的缘故，请具体说明你希望如何分配事物。我听说过悲伤的故事，家族 patriarch/matriarch 去世后，家庭因争夺遗产而分裂。最好提前明确你的愿望。此外，确保亲人知道在哪里找到你的遗嘱。当我花时间在叔叔的房子里找他的遗嘱时，事情变慢了。

考虑使用财务规划师来帮助管理投资账户。叔叔去世前几年，他让我与他的财务规划师和律师会面，以确保我被设为执行人并了解如何处理他的遗嘱。他的财务规划师在管理和整合账户方面帮助了我很多。我还听说建议，如果你通常是支付账单的人，手头留一些现金或其他流动资产，以便亲人需要时可以使用。最初资金可能无法直接转移给继承人，需要设立遗产账户，直到所有账单、债务和遗嘱规格执行完毕。这对于在整理事务时保持域名、托管、电话等某些账单支付也很重要。

我更容易处理，因为叔叔似乎将他的财务账户集中管理。有些人可能需要在某人去世后整理税务文件和银行/财务报表，以找出资金位置。对于那些为亲人做准备的人，请限制你保留的文件，如果你知道哪些不再需要。叔叔去世时，我们必须整理成堆的旧财务报表，他似乎保留了所有收到的文件，但没有任何顺序或系统，只是一堆这里一堆那里。

幸运的是，在这些不幸情况下，金融机构长期处理死亡和继承，因此丢失密码和账户信息不是大问题，如果你有财务报表来查找账户、死亡证明和遗嘱认证书将资金转移到遗产账户。电子邮件、社交媒体、网站等在线账户不那么容易，且远未标准化。让我们先假设最简单的路线是找到密码，而不是必须去每个在线组织 reclaim 账户或发布逝者通知。

如果你准备让亲人的生活更轻松，第一个问题是：你信任谁？我听说过人们将密码库的密码放在保险箱或安全 deposit box 中保管，但 then 你必须信任谁有权访问它。你也可以将信任委托给多个人。例如，多个人可能只有部分密码，他们必须组合才能访问密码库，或者一个人有权访问加密卷的密码，另一个有权访问密码库。可悲的是，即使对于那些痴迷于安全并知道如果超过一个人知道就不是秘密的人，密码库的主密码最好存储在保险箱中，可能以只有执行人知道的方式混淆。

一些密码库如 Lastpass 允许你设置紧急联系人，可以访问你的密码。紧急联系人可以请求访问，你会收到消息询问你是否要拒绝访问，你可以设置如果未拒绝请求，紧急联系人获得访问前的时间。虽然这听起来无情，但公司可能应该在通知后更改已故员工的密码，因为他们无法确定员工是否在密码库中混合了公司凭证和个人凭证。

如果没有密码库访问权限，许多密码可以重置。如果你有权访问逝者的主要电子邮件账户，通常这就是你恢复密码所需的一切（有些人甚至将其他账户的密码存储在电子邮件中，这是 pentesters 在通过钓鱼获取某人电子邮件密码后升级的常见方式）。取决于某人的技术 savvy/安全意识，电子邮件账户通常留在桌面、笔记本电脑和手机上登录。

假设没有启用全硬盘加密，但你没有权限登录个人的PC，你可能能够从外部媒体启动并复制 cookie 来获得账户访问权限。如果使用共享 Windows 计算机，并且自该人去世后未重启，并且你有管理员账户访问权限，你可以使用 Metasploit 的 PSExec 和 kiwi 从内存中提取登录用户密码。即使你没有管理员账户，也可以添加一个或使用外部媒体提取当前密码哈希。然后可以使用 PSExec 传递哈希，执行 Meterpreter，然后使用 post 模块提取密码（gather/firefox_creds、gather/enum_ie 等）。其他好的 Windows 密码提取工具可以在 NirSoft 网站找到（http://nirsoft.net/password_recovery_tools.html）。

另一个提示，让手机保持运行一段时间，以防需要用于重置密码或充当双因素认证系统。这可能意味着在账户中留一些钱用于自动支付账单或将其移动到遗产账户。很多时候密码重置可能需要通过手机 SMS 消息验证。即使手机被锁定，根据 Bubp 先生的说法，SIM 卡有时可以移动到另一部手机，一些双因素认证可以通过 SMS 接收。从 Lerg 的演讲中，显然 Apple 没有配偶的生存权，如果你需要从 Apple 产品或服务获取数据。与此相关，你可能想保持他们拥有的任何域名运行，如果他们使用这些域名用于电子邮件。

我个人讨厌密码重置/安全问题，并会填写不真实的内容并存储我的错误答案。我记得 Sarah Palin 的电子邮件被破解，因为她是公众人物，问题如“你在哪里遇见你的配偶”很容易找到。密码重置问题可能应该由为亲人做准备的人存储，或者你可能必须问很多家庭成员来找出一些问题的答案（例如，我完全不知道我父亲的第一个宠物名字是什么）。

如果没有直接获取凭证，你可能必须直接与公司打交道以获得账户访问权限。在大多数这些情况下，你将获得相当有限的能力，因此如果可能，最好找到账户的凭证。

Facebook 支持设置“遗产联系人”，该联系人对你的账户有有限访问权限，但可以发布通知说你已去世。更多细节在以下链接：

https://www.facebook.com/help/1568013990080948

Twitter 给予访问权限，以便亲人可以删除账户，但你不能获得使用权限。

https://help.twitter.com/en/rules-and-policies/contact-twitter-about-a-deceased-family-members-account

Google 的非活动账户管理器能够发送消息给你指定的人，让他们知道你不活动。你也可以选择让指定的人从 +1s、Blogger、Drive、Mail 和 YouTube 下载你的信息，如果你不活动。然而，人们不会获得使用你的账户的权限。

https://support.google.com/accounts/answer/3036546?hl=en

我使用 Dreamhost 作为提供商，如果我的网站消失会很遗憾。我假设其他提供商有类似程序。获取逝者账户访问权限：

https://help.dreamhost.com/hc/en-us/articles/215202507-Gaining-access-to-accounts-of-the-deceased

域名注册商有类似程序。GoDaddy 有以下页面关于“如何在所有者去世后获得域名/账户访问权限”。

https://www.godaddy.com/help/how-to-gain-access-to-domainsaccounts-after-owners-death-8356

如果你运行一个重要网站，你可能想考虑通过法律实体注册它，而不是仅仅你个人。我被告知 LLC 或信托是不错的选择，但请与遗产律师合作。