Wat is Distrectionary Access Control?
Distrectionary Acces Control (DAC), oftewel Discretionaire Toegangscontrole, is een type beveilig voor de toegang dat objecttoegang verleent of beperkt via een toegangsbeleid dat wordt bepaald door de eigendomsgroep en/of subjecten van een object. DAC-mechanismen worden gedefinieerd door identificatie van de gebruiker met de tijdens de authenticatie verstrekte referenties, zoals gebruikersnaam en wachtwoord. DAC’s zijn zelfstandig in die zin dat het subject (eigenaar) geauthenticeerde objecten of informatietoegang kan overdragen aan andere gebruikers. Met andere woorden, de eigenaar bepaalt de toegangsrechten tot het object.
Techopedia legt Distrectionary Acces Control uit
In DAC heeft elk systeemobject (bestand of gegevensobject) een eigenaar, en elke initiële objecteigenaar is het subject dat de creatie ervan veroorzaakt. Het toegangsbeleid van een object wordt dus bepaald door de eigenaar ervan.
Een typisch voorbeeld van DAC is de Unix-bestandsmodus, die de lees-, schrijf- en uitvoerrechten in elk van de drie bits voor elke gebruiker, groep en anderen definieert.
DAC attributen omvatten:
- De gebruiker kan het eigendom van een object overdragen aan een andere gebruiker.
- De gebruiker kan het toegangstype van andere gebruikers bepalen.
- Na verschillende pogingen beperken mislukte autorisaties de toegang van de gebruiker.
- Onbevoegde gebruikers zijn blind voor objecteigenschappen zoals bestandsgrootte, bestandsnaam en directorypad.
Objecttoegang wordt bepaald tijdens de autorisatie van de toegangscontrolelijst (ACL) en gebaseerd op gebruikersidentificatie en/of groepslidmaatschap.
DAC is gemakkelijk te implementeren en intuïtief, maar heeft een aantal nadelen, waaronder:
- Inherente kwetsbaarheden (Trojaans paard)
- ACL onderhoud of vermogen
- Onderhoud van verleende en ingetrokken machtigingen
- Beperkte bevoegdheid tot negatieve autorisatie