Si usas MD5() .. se supone que tu contraseña la guardas en tu BD en formato encriptado MD5().. no?

Haz una pequeña comprobación .. haz un echo a tu $password y a tu $row['pass'] ahí mismo (antes de tu if()) y observa si son iguales.

por cierto .. si ya usas los arrays superglobales para tu $_POST['id'] .. usalos también para el $password: $_POST['password'] (no sé si será ese el método que usas en tu formulario/link para hacer llegar esa variable a ese scritp PHP).

Un saludo,