这里的一些人声称解决方案从未被机器人破坏过。我认为问题在于，你也不知道有多少人没有通过“验证码”。

一个网站不能变得对人类用户非常不友好。这似乎是在互联网上做生意的代价，你必须处理一些手工工作来忽略垃圾邮件。拒绝用户的验证码(或类似的系统)比根本没有验证码更糟糕。

Admittedly, StackOverflow has a very knowledgeable audience, so a lot more creative solutions can be used. But for more run-of-the-mill sites, you can really only use what people are used to, or else you will just cause confusion and lose site visitors and traffic. In general, CAPTCHAs shouldn't be tuned towards stopping all bots, or other attack vectors. That just makes the challenge too difficult for legitimate users. Start out easy and make it more difficult until you have spam levels at a somewhat manageable level, but not more.

最后，我想回到基于图像的解决方案:你不需要每次都创建一个新的图像。您可以预先创建大量(可能几千个?)，然后随着时间的推移慢慢地更改这个集合。例如，每10分钟或每小时过期100个最旧的图像，并用一组新的图像替换它们。对于每个请求，从整个验证码集中随机选择一个验证码。

当然，这无法承受直接攻击，但正如前面多次提到的，大多数验证码都无法承受。不过，这足以阻止随机机器人。

我最喜欢的验证码:

实际上，有一个与编程相关的验证码集是一个不错的想法。例如:

有人可能会构建一个语法检查器来绕过这个，但绕过验证码需要做更多的工作。不过，您应该知道有一个相关的验证码。

在目前的概念中，CAPTCHA是不完善的，而且经常很容易被绕过。现有的解决方案没有一个是有效的——GMail最多只有20%的成功率。

实际情况要糟糕得多，因为这个统计数据只使用了OCR，还有其他方法可以绕过它——例如，CAPTCHA代理和CAPTCHA农场。我最近在OWASP做了一个关于这个主题的演讲，但是ppt还没有上线…

虽然CAPTCHA不能以任何形式提供实际的保护，但如果你想要阻止随意路过的垃圾，它可能足以满足你的需求。但它甚至无法阻止半专业的垃圾邮件发送者。

通常，对于一个有价值的资源需要保护的网站，你需要三个方面的方法:

限制来自认证用户的回复，不允许匿名帖子。 最小化(而不是阻止)来自认证用户的少数垃圾帖子-例如基于声誉的。人工版主在这里也可以提供帮助，但随后你会遇到其他问题——即充斥(甚至淹没)版主，而一些网站更喜欢开放…… 使用服务器端启发式逻辑来识别类似垃圾邮件的行为，或者更好的非人类行为。

验证码可以在第二个方面提供一点帮助，只是因为它改变了经济状况——如果其他方面都到位了，那么为了在如此少量的垃圾邮件中成功突破验证码(最低成本，但仍然是成本)就不再值得了。

同样，不是所有的垃圾邮件(和其他垃圾邮件)都是计算机生成的-使用CAPTCHA代理或农场坏人可以让真人发送垃圾邮件给你。

验证码代理是指他们将你的图像提供给其他网站的用户，如色情网站、游戏网站等。

验证码农场有很多廉价的劳动力(印度、远东等)来解决这些问题……通常每1000个验证码解决2-4美元。最近在Ebay上看到了这个帖子……

当我看到一个关于人类计算的视频(该视频是关于如何使用人类通过游戏来标记图像)时，我有了一个想法来构建一个验证码系统。人们可以使用这样的系统来标记图像(可能用于其他目的)，然后使用关于标记的统计信息来选择适合验证码使用的图像。

假设有一张图片，90%的人都给它贴上了“猫”或“摩天大楼”的标签。然后可以呈现图像，要求图像最明显的特征，这将是图像的主导标签。

这可能超出了SO的范围，但有人可能会发现这是一个有趣的想法:)

我认为我们必须假设这个网站会经常受到有针对性的攻击，而不仅仅是一般的漂移机器人。如果它成为程序员搜索的第一个热门，它将引来大量的火力。

对我来说，这意味着任何验证码系统都不能从重复的问题列表中提取答案，而人类可以手动将这些问题输入机器人，而且机器人也猜不到。