"Buenas prácticas de seguridad" es seguir Principio de Kerckhoffs :
Uno debe diseñar sistemas bajo el supuesto de que el enemigo se familiarice de inmediato con ellos.
No seguir el principio de Kerckhoffs significa que estás haciendo seguridad en la oscuridad . Un google rápido te mostrará lo que la comunidad piensa de eso.
Tu pregunta:
¿Y cómo sabrían qué datos / argumentos deben enviar para hacer un mal uso de cualquiera de las funciones de la API?
Tal vez a través de un rastreador de fuerza bruta. Quizás de alguna manera tengan acceso a sus archivos WSDL o Swagger que contienen la descripción completa de la API. Tal vez tengan acceso a su aplicación cliente o SDK y apliquen ingeniería inversa a la API. Tal vez ellos olfatean el tráfico y observan a las personas usando tu API. Tal vez otros métodos.
Es evidente que depende de usted si agregar auth está dentro del alcance de su proyecto, pero tener API que sirvan o acepten datos confidenciales sin autenticación es una práctica muy mala. Aún mejor es tener control de acceso encima de auth para controlar quién puede ver / configurar qué datos.