¿Qué significa control de acceso discrecional?
El control de acceso discrecional (DAC) es un tipo de control de acceso de seguridad que concede o restringe el acceso a objetos mediante una política de acceso determinada por el grupo propietario y/o los sujetos de un objeto.
Los controles del mecanismo DAC se definen mediante la identificación del usuario con las credenciales suministradas durante la autenticación, como el nombre de usuario y la contraseña.
Los DAC son discrecionales porque el sujeto (propietario) puede transferir objetos autentificados o acceso a la información a otros usuarios. En otras palabras, el propietario determina los privilegios de acceso a los objetos.
Definición de control de acceso discrecional
En DAC, cada objeto del sistema (archivo u objeto de datos) tiene un propietario, y cada propietario inicial del objeto es el sujeto que provoca su creación. Así, la política de acceso a un objeto viene determinada por su propietario.
Un ejemplo típico de DAC es el modo de archivo Unix, que define los permisos de lectura, escritura y ejecución en cada uno de los tres bits para cada usuario, grupo y otros.
Los atributos DAC incluyen:
- El usuario puede transferir la propiedad de un objeto a otro u otros usuarios.
- El usuario puede determinar el tipo de acceso de otros usuarios.
- Tras varios intentos, los fallos de autorización restringen el acceso de los usuarios.
- Los usuarios no autorizados no conocen las características del objeto, como el tamaño del archivo, el nombre del archivo y la ruta del directorio.
- El acceso a los objetos se determina durante la autorización de la lista de control de acceso (ACL) y se basa en la identificación del usuario y/o su pertenencia a un grupo.
El DAC es fácil de implementar e intuitivo, pero tiene ciertas desventajas, entre ellas
- Vulnerabilidades inherentes (caballo de Troya)
- Mantenimiento o capacidad de ACL
- Mantenimiento de permisos concedidos y revocados
- Poder limitado de autorización negativa