403 будет наиболее подходящим кодом ответа. Вот полное описание от RFC 7231 .
Код состояния 403 (Запрещено) указывает, что сервер понял
запрос, но отказывается авторизовать его. Сервер, который хочет
обнародовать, почему запрос был запрещен, может описать, что
причина в ответе полезной нагрузки (если есть).
Если в запросе были указаны идентификационные данные,
Сервер считает их недостаточными для предоставления доступа. Клиент
НЕ ДОЛЖЕН автоматически повторять запрос с тем же
полномочия. Клиент МОЖЕТ повторить запрос с новым или другим
полномочия. Тем не менее, запрос может быть запрещен по причинам
не связанные с полномочиями.
Исходный сервер, который хочет «скрыть» текущее существование
запрещенный целевой ресурс МОЖЕТ вместо этого ответить кодом состояния
404 (не найдено).
Второй абзац относится к вашему сценарию. Клиент / пользователь предоставил чужие учетные данные, и сервер считает их «недостаточными».