Какой код состояния HTTP, чтобы сказать, что имя пользователя или пароль были неправильными?

Я реализую простой модуль регистрации / входа.

При тестировании учетных данных пользователя я начинаю думать, какой код состояния HTTP будет подходящим для ситуации, если пользователь отправляет запрос с неверными учетными данными.

Сначала я думал, что 401 Unauthorized будет хорошим кодом состояния, но, кажется, будет лучше использовать его, когда пользователь пытается получить какой-либо ресурс без авторизации.

После я перешел на 409 Конфликт

Этот код разрешен только в ситуациях, когда ожидается, что пользователь сможет разрешить конфликт и повторно отправить запрос.

Итак, друзья, пожалуйста, сообщите мне, какой код состояния следует использовать.