En realidad el PDF no es el que tiene la contraseña .. (aunque por efectos de "mod_rewrite" (re-escritura del URL) ves el .pdf ahí en la ruta .. pero quien controla la descarga efectiva es un script/CGI que por ahí está ejecutandose).

Tu ya gestionas usuarios en tu sitio?

Bueno .. si no es así o como ejemplo para tu sistema puedes guiarte de este script:

Autentificator
http://php.cluster-web.com/autentificator

Eso es la base y la gestión de usuarios .. usa sesiones .. así que tan sólo debes usarlo como los ejemplos mencionan o las variables de sesión te dejan a tu disposición .. Luego tendrás que implementar tu sistema de desarga de archivos donde PHP será el que lea el archivo y lo deje a descargar (no un link directo .. tiene que pasar por un script tuyo que será el que apliqué el código de validación de la sesión).

Esto lo puedes ir viendo en:
www.php.net/header

Un saludo,