בהפעלה ראשונית, Shopify מציגה QR code שהמשתמש סורק עם אפליקציית האימות. האפליקציה שומרת secret key ומייצרת TOTP codes — קוד 6-ספרתי שמשתנה כל 30 שניות. בכניסה ל-Admin, המשתמש מזין את הקוד הנוכחי. בטוח יותר מ-SMS.

בישראל ההמלצה: לעבור מ-SMS (default) ל-Authenticator app, או טוב יותר — ל-Shopify mobile push notifications. Authy עדיף על Google Authenticator כי מסנכרן בין מכשירים (אם איבדת את הטלפון, יש לך עוד גיבוי).