É porque você está efetivamente ignorando a configuração de credenciais da verificação de "apelido", porque ela é sobrescrita quando você verifica a senha.
Tente:
- Verifique se "credenciais == True" antes (ou ANDed com) a verificação de senha.
- OU use duas variáveis de credenciais (por exemplo, credentialsUser, credentialsPwd), para que você possa executar duas verificações e enviar uma mensagem específica (ou logar para sys-admin) "nome de usuário desconhecido" ou "senha incorreta".