Hola, aún no sé por qué no te resulta, pero viendo el código me dí cuenta que hay lineas que sobran:

Tienes lo siguiente:

if not rs.eof then
' nos ha devuelto un registro, ahora miraremos si es valido
' con ello evitamos el ataque típico SQL
if rs("usuario")=usuario and rs("password")=password then
' si el usuario esta en la base de datos y la password coincide
session("autorizacion")=1
response.redirect "verprueba.asp"
response.cookies("userid")=usuario

end if
else
session("autorizacion")=-1

end if

Si te fijas bien, la consulta SQL te devuelve un valor siempre y cuan el usuario y password coincidan con uno de los registros de la base, por tanto, creo que debes reemplazar lo anterior por esto:

if not rs.eof then
' nos ha devuelto un registro, ahora miraremos si es valido
' con ello evitamos el ataque típico SQL
session("autorizacion")=1
response.redirect "verprueba.asp"
response.cookies("userid")=usuario
else
session("autorizacion")=-1
end if

Espero que te sirva de algo mi observación...., sigo revisando tu código ;)