yo lo suelo hacer asi:

'creo la conexion
'creo el recordset
abro la bd, compruebo la contraseña en la tabla de contraseñas, y luego:

if rs.recordcount<>0 then
'Todo OK!
'coloco las variables de sesion
session("autentificado") = "si"
'redirecciono a la página de la aplicación
response.redirect "gestor.asp"
else
session("autentificado") = "no"
response.redirect "index.asp?errorusuario=si"
end if

'luego en las demas paginas, haces lo siguiente:
'antes de la etiqueta <html> tienes q preguntar por la variable session:

<% if session("autentificado")="si" then%>
<html>
'pones lo q sea, si es no, lo pones debajo de la etiqueta </html>
</html>
else
session("autentificado")="no"
response.redirect "index.asp"
end if