Hola alkatraz.
Me parece te hiciste lio :P
El codigo encerrado entre <%...%> es codigo ASP, lo que significa que tenes que trabajar con servidores que acepten ASP.
Por lo tanto toda pagina ASP debe tener extension .ASP y no .htm como intentas, ya que no te va a procesar dicho codigo, entonces primero destino.htm deberia ser destino.asp
El action solo se pone en el form de origen, no existe en destino, que indica que hacer cuando se de click al boton Aceptar.
Si no queres usar ASP sino puro HTML, te convendria :
<FORM action=Enviar() method=post>
y antes del </HEAD> pones :
<SCRIPT LANGUAGE=VBSCRIPT>
Sub Enviar()
document.location = document.all("userpass").value & ".htm"
End Sub
</SCRIPT>
Suponiendo el password es "dfh45kdk" deberia mandarlo a "dfh45kdk.htm" pero si pone cualquier otra cosa le va a tirar "pagina inexistente".
Es rudimentario pero es util si queres algo efectivo y ya !

Se entiende ? Saludos !