In ogni caso le query sono sbagliate; così com'è adesso la clausola where è incompleta e l'uso di due query separate è errato, sarà semmai una roba del tipo:
codice:
"SELECT Username, Password FROM Utenti WHERE Username='" & username & ''" AND Password='" & password & "'"
Tuttavia se usi questa roba comunque la tua applicazione rimane estremamente vulnerabile ad attacchi di tipo SQL injection. Dovresti usare delle query parametriche.