Mô hình này đảm bảo quyền truy cập của người sử dụng đến tài nguyên của hệ thống dựa trên định danh của người sử dụng và các luật an ninh thông tin của người sử dụng đối với các đối tượng trong hệ thống. Nếu người sử dụng có quyền thì có thể truy cập đến các đối tượng trong hệ thống, ngược lại sẽ bị từ chối. Người sử dụng này có thể ủy quyền cho người sử dụng khác để truy cập đến tài nguyên của mình (ownership policy). Do đó, mô hình an ninh này rất mềm dẻo, có thể đáp ứng được các yêu cầu đảm bảo an ninh khác nhau. Vì những lý do này mà chúng được sử dụng rộng rãi trong thực tế, đặc biệt là trong môi trường kinh tế và công nghiệp. Tuy nhiên, các chính sách điều khiển truy cập tự quyết có nhược điểm là chúng không thỏa mãn thực sự các yêu cầu bảo vệ. Dù mỗi truy cập được điều khiển và cho phép chỉ khi được cấp quyền, việc nhường lại các quyền truy cập rất dễ dàng.
Ví dụ, một người dùng được phép đọc dữ liệu có thể cho phép một người dùng khác không có quyền đọc chúng nhưng tổ chức hay người sở hữu dữ liệu không thể biết được. Vì vậy, một người không được cấp quyền vẫn có thể đọc và lấy về các dữ liệu đã được bảo vệ. Vấn đề chính ở đây là các chính sách tự quyết không áp đặt bất cứ giới hạn nào trên việc sử dụng thông tin một khi chúng đã được lấy về bởi người dùng: tức là sự phổ biến thông tin không được kiểm soát. Điều này làm cho điều khiển tự quyết dễ bị tổn thương bởi các tấn công độc hại như Trojan Horses nhúng trong các chương trình. Một Trojan Horse là một chương trình máy tính với một chức năng hữu ích nhưng lại chứa các chức năng ẩn, bí mật khai thác các quyền hợp pháp trong quá trình chạy.
Để hiểu được làm thế nào để một Trojan Horse có thể thu thập được các thông tin không được phép, kể cả khi có mặt các điều khiển truy nhập tự quyết ta xét ví dụ sau. Giả sử người dùng x tạo ra file f1 và ghi vào đó 1 ít thông tin. người dùng y tạo ra file f2, và được phép thực hiện mọi hành vi trên file f2. Cụ thể, y có thể gán cho những người khác các quyền truy nhập file f2. Giả sử y ủy quyền write cho x trên f2. Một chương trình P (là một Trojan Horse), P chứa một đoạn code ẩn dùng để đọc file f1 và ghi trên f2 (Hình 3.9a). Khi x chạy chương trình P, tất cả các yêu cầu của x được kiểm tra dựa trên các quyền của x. Cụ thể với đoạn code ẩn trong P: đầu tiên việc đọc file f1
được yêu cầu, vì x tạo ra file f1 nên yêu cầu được chấp nhận. Tiếp đó quyền write trên f2 được yêu cầu. Vì x có quyền write trên f2 nên yêu cầu được chấp nhận. Trong quá trình xử lý của P, các thông tin được đọc từ f1 (mà y không có quyền read) được ghi vào f2, như vậy y có thể đọc được thông tin từ f1 (hình 3.9b). Như vậy, có sự truyền thông tin trái phép tới người dùng y, cho dù điều khiển truy cập có hoạt động.
Hình 3.9 Minh họa một kiểu tấn công Trojan Hourse
Ví dụ đơn giản này minh họa những giới hạn đã được nêu trong quyền hạn có thể vượt qua dễ dàng, và gây ra sự thiếu đảm bảo trong các chính sách tự quyết. Loại Trojan Horse này có thể chặn đứng bởi việc dùng các chính sách bắt buộc.