Un token di Fernet ha il seguente formato:
Version ‖ Timestamp ‖ IV ‖ Ciphertext ‖ HMAC
Come illustrato sopra, il timestamp non fa parte del testo cifrato, quindi chiunque può leggere l'ora in cui è stato creato il token. In un flusso di dati dal vivo questo potrebbe non essere un problema, ma per il token memorizzato su disco, un utente malintenzionato potrebbe essere in grado di utilizzare il tempo di creazione per facilitare il cracking. Il timestamp dovrebbe essere crittografato?