Wenn er das Passwort zu einem nichtexistierenden FTP-User eingibt, kommt es zu der gleichen Fehlermeldung, jedenfalls bei den bekannstesten FTP-Servern.

Wenn hier schonmal nen paar reingucken. Wie mache ich, dass die Leute nicht in die Ordner reingucken können? Es hilft ja wohl nicht, wenn ich dort nur ne index.html reinstecke. Muss da was bestimmtes drinstehen oder ne andere Datei rein?
Was genau willst du jetzt? Einen Passwortschutz für den gesamten Ordner machst du mit htaccess (aber bitte ohne Limit!). Dazu einfach nach "htaccess Generator" suchen.
Oder willst du, dass einem Besucher nicht der Inhalt der Seite gezeigt wird? Dann sollte ein Index reichen. Evtl kannst du es auch mit einer htaccess machen, in der "Options -Indexes" steht. Wenn du dann in einen Ordner switchst, in dem keine index liegt, aber andere Dateien, dann bekommst du einen 403 anstatt einer Dateiauflistung. Google dazu einfach mal ein wenig nach "htaccess Directory Listing" oder so ähnlich.