Questo e` comunque piu` "sicuro":
codice:
<script>
function submitentry(){
  password = document.password1.password2.value;
  window.location=password+".htm"
}
</script>
Naturalmente se nella directory e` presente un file index.htm e se il webserver impedisce la lista della dir da internet.

Nota che ho tolto il .toLowerCase(): se il server non e` windows e` una sicurezza in piu` (puoi usare maiuscole e minuscole come caratteri diversi).