A questo punto ci sono 2 opzioni:

1. l'utente effettivamente non esiste con l'username e password che inserisci
2. la sua password e' salvata con un altro metodo di hash, non con password() di mysql

ps: per la cronaca, mysql dice chiaramente che per i tuoi utenti e' meglio utilizzare md5, sha1 o altro, e non la funzione interna password()