Fossi in te non chiamerei il nome di un campo del database access "password" perchè è una parola riservata. Sostituiscila con "Psw"!
Poi nelle select scriverei:
sqlstring = "select * from User where user_id = '" & user_id & "' AND Psw = '" & password & "' "

Inoltre la condizione

IF NOT RS.EOF AND user_id <> "" AND password <> "" THEN

la scriverei all'interno del ciclo "WHILE" così effettua il controllo ogni movenext.
Ciao