1について
普通ヘルパーはviewに渡されたデータにロジックが必要だったり，使い回せるdomを書くところです。なのでk.hagiwaraさんの考え方が正しく、先輩は使い方を根本的に間違えています。ロジックの共有やファイルの肥大化を防ぐためのコードはコントローラやモデルフォルダの中にconcernというフォルダを切ってそこにモジュールを定義します。また，データベースのロジックや外部入出力はモデルともコントローラとも関連が薄いのでserviceというフォルダをapp配下に切ってことが多いです。

2
認証はApplicationControllerかそれに付随するモジュールに書くのが普通です。
ただし，データベースへの認証情報登録時の暗号化などはモデルもしくは一般化してserviceなどに任せます。認証したかどうかを確認するだけならApplicationControllerかserviceに切り出します。

ちなみにform,service,validator,concernはrailsの有名なコミッターが採用している設計パターンで特にrailsの規約であるわけではないので(実態も単なるモジュールやミックスインやクラスの分割ファイル)自由にやっても構わないのですが，railsの綺麗な設計について勉強したければtrailblazer周りを調べて見ることをお勧めします。