¿Cuál es el buen código de estado http para devolver una contraseña caducada?

Cuando caduca una contraseña, ¿qué API de descanso debería devolver? Quiero decir: el nombre de usuario y la contraseña son correctos, pero caducaron.

aquí encontre eso

Los mecanismos para expirar o revocar credenciales se pueden especificar como parte de una definición de esquema de autenticación.

¿Existe una especificación sobre cuál es el código de estado http correcto o correcto para las credenciales caducadas? ¿Es bueno manejar el código de estado http con el vencimiento de las credenciales?

Respuestas a la pregunta(2)

Su respuesta a la pregunta