El código en si esta bien, exceptuando de
$HTTP_POST_VARS pues eso ya esta en desuso como comento
3nr1c, así que sustituyelo por
$_POST
1.- Comprueba que en tu base de datos tengas a ese usuario...
2.- Haz un echo a las variables usuario y password para ver si alguna de ellas viene vacía.
Lo digo porque yo acabo de probar tu codigo modificando únicamente las variables usuario y password y me ha funcionado.
Saludos,