Hola, vas bien orientada. Si vas a tener un sistema con muchos usuarios registrados en una base de datos, la autenticación por HTTP, que es la que se utiliza con los .htaccess no te va a resultar práctica. Más bien tendrías que crearte un método de autenticación propio, basado por ejemplo en sessiones, y preguntando en cada página el estado de la sesión para saber si se tiene autorización o no.

Respecto a las páginas de error, si alguien escribe una URL que no existe el error que corresponde entregar por el servidor web es el error 404. Puedes personalizar las páginas de error a mostrar por el servidor web para cada error de HTTP con la directiva ErrorDocument de Apache.

Saludos!