En tilgangskontrollliste (ACL) er et vedlegg til en fil, katalog eller et annet objekt som gir informasjon om tillatelser tilknyttet objektet.Hvis det ikke er noen tilgangskontrollliste, kan noen samhandle med objektet og gjøre noe med det.Hvis en liste er til stede, er imidlertid tilgang og aktiviteter begrenset til personer på listen, og evnene til enkeltbrukere kan være begrenset på forskjellige nivåer.

Listen kan spesifisere brukere, roller eller grupper.Brukere er individuelle brukere som er registrert i systemet, for eksempel et kontortettverk.Roller er titler som er tildelt mennesker.For eksempel kan en bruker ha rollen "systemadministrator."Når en tilgangskontrollliste begrenser tilgangen til visse roller, vil bare personer i disse rollene kunne manipulere objektet.Grupper er samlinger av brukere som er registrert sammen, for eksempel "sekretærbasseng."

Tilgangskontrolllister kan avgjøre hvem som har lov til å se, redigere, slette eller flytte et objekt.Dette kan være nyttig på sikkerhetsnivå, og det kan også forhindre feil.For eksempel kan systemadministratorer begrense tilgangen til viktige systemfiler, slik at personer som ikke er erfarne, ikke ved et uhell vil endre, slette eller flytte disse filene og forårsake et problem.På samme måte kan en fil bli lest bare med unntak av en bruker for å sikre at hvis andre mennesker i nettverket får tilgang til filen, kan de ikke gjøre endringer i den.

Bruke en tilgangskontrollliste for sikkerhet er en del av kapasitetsbasert sikkerhet,hvor lag med sikkerhet blir gitt ved bruk av symboler som er gitt av brukere av systemet.Et token gir informasjon om en brukermyndighet, og det samsvares med tillatelser som avgjør om brukeren er autorisert til å utføre et gitt alternativ eller ikke.Denne sikkerhetsmetoden tillater sikkerhet på et svært fleksibelt nivå da individuelle filer og kataloger kan ha forskjellige tillatelser.

Tilgangskontrolllisten er bare like god som sikkerheten til individuelle identiteter i et nettverk.Hvis folk ikke bruker passord eller bruker svake passord, er det mulig å kapre identiteten deres og bruke dem i systemet.Hvis et system blir penetrert med en tastetrykklogger eller lignende skadelig programvare, kan det også bli kompromittert og gjøre det mulig for en uautorisert person å komme inn i systemet.Dette er grunnen til at sikkerhet er organisert i lag, slik at en svakhet i ett område ikke vil få ned hele systemet.