Конечно я понимаю что паролирование папок будет надёжнее того что я написал.
Для того чтобы прислать нужные куки для начала их нужно узнать.
Можно чтобы эти файлы могли качать только прошедшие какуюто проверку на сайте и получившие нужные куки или сделать защиту файлов от не прошедших проверку - робот человек.
А ещё можно будет придумать чтобы куки были динамическими например привязаны к часам или к дате и чтобы они периодически сами менялись как коды в Google Authenticator тогда это было бы надёжней даже чем паролирование папок.