Diese Passwortabfrage ist RELATIV sicher, da das passwort der Name des files ist, welches angefordert wird und somit nicht im quelltext steht/angedeutet wird.
Allerdings würde ich auch .htaccess vorschlagen wenn heikle dinge geschützt werden sollen. Vor allem wenns für eine Firma ist!!