Segurança dos dados

Pessoal, boa tarde. Tenho uma página que assim que a pessoa digita usuário e senha ela já mostra o respectivo PDF para a pessoa na tela. Só que esses arquivos estão em uma pasta no servidor chamada "arquivos". se eu digitar o endereço do site\arquivos ele me mostra um INDEX contendo todos os arquivos da pasta. Como posso protegê-los? Vou postar o PHP:

	<?php

	$login = $_POST['username'];

	$senha = $_POST['pass'];

	$pasta = "arquivos/"; // criei a pasta arquivo na raiz do projeto

	$formato = ".pdf";

	$arquivo = $pasta.$login.$senha.$formato; // endereço completo do arquivo

	if(file_exists($arquivo)){ // se o arquivo existir

	    header("Location:".$arquivo);

	}else{

	    echo "Arquivo não existe.";

	}

	?>

	 

	Obrigado pela ajuda desde já!