Il tuo problema è che non inserisci l'autenticity token che serve per validare le chiamate post.
E' un controllo di sicurezza attivo di default su Ruby.

Di norma non si usa mai scrivere un form a mano ma si adottano gli appositi helper proprio perché quest'ultimi inglobano una serie di automatismi funzionali all'applicazione.
Se scrivi form a mano, allora devi includere l'autenticity token.

Stessa cosa vale per le URL. Non si scrivono mai a mano, si usano le regole di routing. Non sapendo come hai chiamato la regola di routing per il login, scrivo la versione estesa con url_for

codice:
<h1>Login#accesso</h1> 

<% form_tag url_for(:controller => "login", :action => "login"), :method => :post do %>
Username:<%= text_field_tag("username")%> 


 
Password:<%=text_field_tag("password")%> 


 
<%=submit_tag "Accedi" %> 
<% end %>