Si, l'autenticazione funziona e infatti pensavo che bastasse quello. Il disallow lo escludo, come dici tu in questi casi è meglio che solo il diretto interessato conosca l'url di accesso, quindi scrivere l'indirizzo da qualche parte sul web non è l'ideale.

Anche il filtro degli indirizzi ip non è fattibile perchè può esserci la necessità di accedervi anche in mobilità, da connessioni con indirizzi ip dinamici.

Resta il no index che credo sia proprio la soluzione migliore penso che userò questo.
Grazie per la risposta!