El código en si esta bien, exceptuando de $HTTP_POST_VARS pues eso ya esta en desuso como comento 3nr1c, así que sustituyelo por $_POST

1.- Comprueba que en tu base de datos tengas a ese usuario...
2.- Haz un echo a las variables usuario y password para ver si alguna de ellas viene vacía.

Lo digo porque yo acabo de probar tu codigo modificando únicamente las variables usuario y password y me ha funcionado.

Saludos,