> 売り物データを好き勝手に見られたくない程度です。

URLがわからなければ見られることはないし、
HTTP認証がかかってる場合は偶然の不慮の事故もある程度防げる。
URLが何かしらで不正に公開されてしまうような場合はHTTP認証のアカウントもセットだと思いますが・・・

> ソシャゲやアプリをエミュレートしてPCで遊んでるレベル

は、アプリ自体が騙されてる(不正であることを判定できない)状態なので防ぐことは絶対に無理かと・・・

> 思い付いて試す程度の子達

であれば、HTTP認証で十分ですね。複雑なファイル名は全く効果はないと思われます(連番や命名ルールで推測くらいしか)