Deberias usar las variables como $_POST['usuario'] y $_POST['password'] ya que vienen de un formulario enviados por el metodo POST.
En segundo lugar, deberias omitir algunos pasos que lo unico que hacen es crear un codigo mas largo e innecesario, es decir, en vez asignar un valor a $valido segun sean el user y el password correcto y luego comprobar el varlo de $valido, deberias mostrar directamente el codigo correspondiente segun sean los datos correctos o no. En resumen, tu script de forma mas precisa:
password.php
Código PHP:
<?
if (($_POST['usuario'] == "pepa") && ($_POST['password'] == "flores")) { ?>
<p>BIENVENIDO A LA PAGINA PRIVADA</p>
<? } else { ?>
<p>USUARIO O CONTRASEÑA INCORRECTA</p>
<? } ?>
Hasta luego