我个人不喜欢验证码，它损害了可用性，并不能解决使有效用户无效的安全问题。

我更喜欢服务器端的机器人检测方法。由于您拥有有效用户(多亏了OpenID)，您可以阻止那些不“行为”的用户，您只需要识别机器人的模式，并将其与典型用户的模式进行匹配，然后计算两者之间的差异。

Davies, N.， Mehdi, Q.， Gough, N.:使用游戏引擎和AI工具创建和可视化智能NPC http://www.comp.glam.ac.uk/ASMTA2005/Proc/pdf/game-06.pdf

Golle, P.， Ducheneaut, N.:防止机器人玩在线游戏<——ACM门户

Ducheneaut, N.， Moore, R.:《游戏的社交面:大型多人在线游戏中的互动模式研究》

当然，大多数引用都指向电子游戏机器人检测，但这是因为这正是我们小组题为《机器人战争》的论文的主题: 机器人识别的游戏探索。它没有出版，只是学校的一个项目。如果你感兴趣，我可以给你发邮件。事实是，即使它是基于电子游戏机器人检测，你也可以将其推广到网页上，因为用户与使用模式有关。

我非常赞同MusiGenesis的这种方法，因为我在自己的网站上也使用了这种方法，而且效果不错。看不见的CAPTCHA过程是阻止大多数脚本的一种不错的方法，但这仍然不能阻止脚本作者对您的方法进行逆向工程，并在javascript中“伪造”您正在寻找的值。

我会说最好的方法是1)建立一个用户，这样你就可以在他们不好的时候阻止他们，2)确定一种算法来检测典型模式和非典型模式的网站使用，3)相应地阻止该用户。

在实现前面提到的蜜罐验证码方法后，我们的表单垃圾邮件已经大幅减少。我相信自从实施以来，我们还没有收到任何通知。

@lance

谁说每个请求都必须在服务器上创建所有映像?也许你可以有一个静态的图片列表，或者从Flickr中获取它们。我喜欢“点击小猫”验证码的想法。http://www.thepcspy.com/kittenauth。

如果从静态图像列表中提取，绕过CAPTCHA就变得很简单，因为人类可以对它们进行分类，然后机器人就可以轻松地回答这些挑战。即使机器人不能回答所有问题，它仍然可以发送垃圾邮件。它只需要能够回答一小部分的验证码，因为当尝试失败时，它总是可以重试。

这实际上也是谜题的问题，因为拥有大量挑战是非常困难的。

有人还建议使用Raphael JavaScript库，它显然可以让你在所有流行的浏览器的客户端上作画:

http://dmitry.baranovskiy.com/raphael/

．． 但这并不完全适用于我的<noscript>情况，不是吗?：）

我编写了一个相当大的新闻网站，一直在摆弄验证码和分析垃圾邮件机器人。

我所有的解决方案都是针对中小型网站的(就像这个主题中的大多数解决方案一样) 这意味着他们可以防止垃圾邮件机器人发布，除非他们为你的网站(当你很大的时候)制定了特定的解决方案。

我发现一个很好的解决方案是垃圾邮件机器人不会访问你的文章后48小时后，你发布它。 由于新闻网站上的一篇文章在发布后48小时内就能获得大部分浏览量，因此它允许非注册用户在无需输入验证码的情况下发表评论。

我见过的另一个很好的验证码系统是WebDesignBeach做的。 你有几个对象，你必须拖放一个到一个特定的区域。很有创意，不是吗?

Mollom是另一个可能感兴趣的askimet类型服务。来自那些编写drupal /运行acquia的人。