如果你做一个有不同颜色字母的验证码，并且你要求用户只输入特定颜色的字母呢?

映像可以在客户端从服务器传递的基于矢量的信息中创建。

这将减少服务器上的处理和传输的数据量。

验证码过滤器的一个理论想法。向用户提出一个服务器可以简单回答的问题，用户也可以回答。共享答案成为用户和服务器都知道的一种公钥。

Stack Overflow的相关示例:

用户XYZ有多少声誉点?

提示:查看屏幕侧面的信息，或者点击这个链接。 用户可以从已知的堆栈溢出用户中随机抽取。

一个更一般的例子: 你住在哪里? 你住的地方星期六九点天气怎么样? 提示:使用雅虎天气，并提供湿度和一般条件。

然后用户输入他们的答案

西雅图 部分多云，湿度85%

计算机证实确实是西雅图当时的天气状况。

答案对用户来说是唯一的，但服务器有一种查找和确认答案的方法。

问题的类型可以多种多样。但其思想是，您对人类必须查找的事实组合进行一些处理，服务器可以简单地进行查找。这个过程是一个两部分的对话，需要一定程度的相互理解。这是一种反向转弯测试。让人类证明它可以提供可计算的数据，但它需要人类的知识来产生可计算的数据。

另一种可能的实现。你叫什么名字，什么时候出生的?

人会提供一个已知的答案，计算机可以在数据库中查找信息。

也许一个数据库可以由一个机器人来填充，但机器人需要一些智能来把相关的事实放在一起。服务器端的数据库或查找表可以被系统地删除明显的垃圾信息，如属性。

I am sure that there are flaws and details to be worked out in the implementation. But the concept seems sound. The user provides a combination of facts that the server can lookup, but the server has control over the kind of combinations that should be asked. The combinations could be randomized and the server could use a variety of strategies to lookup the shared answer. The real benefit is that you are asking the user to provide some sort of profiling and revelation of themselves in their answer. This makes it all the more difficult for bots to be systematic. A bunch of computers start using the same answers across many servers and captcha forms such as

我是1972年下午3:45出生的机器人。

然后，这种响应可以被整个网络分析和使用，以阻止机器人，有效地使自动化在几次迭代后变得毫无价值。

As I think about this more it would be interesting to implement a basic reading comprehension test for commenting on blog posts. After the end of a blog post the writer could pose a question to his or her readers. The question could be unique to each blog post and it would have the added benefit of requiring users to actually read before commenting. One could write the simple question at the end of a post with answers stored server side and then have an array of non sense questions to salt the database.

这篇文章谈到紫色验证码技术了吗? 服务器端回答(false, no)

这篇文章是关于验证码的吗? 服务器端回答(是，是)

这篇文章是关于迈克尔·杰克逊的吗? 服务器端回答(false, no)

以随机的顺序提出几个问题，并使这个顺序有意义，这似乎很有用。例如，上面的would = no, yes, no。打乱顺序，问一些无意义的问题，答案是“不是”和“是”。

你不只是想让人类发帖。你需要能够讨论编程主题的人。所以你应该有一个验证码，比如:

下面的C函数声明是什么意思:char *(*(**foo [][8])())[];?

=)

这里的一些人声称解决方案从未被机器人破坏过。我认为问题在于，你也不知道有多少人没有通过“验证码”。

一个网站不能变得对人类用户非常不友好。这似乎是在互联网上做生意的代价，你必须处理一些手工工作来忽略垃圾邮件。拒绝用户的验证码(或类似的系统)比根本没有验证码更糟糕。

Admittedly, StackOverflow has a very knowledgeable audience, so a lot more creative solutions can be used. But for more run-of-the-mill sites, you can really only use what people are used to, or else you will just cause confusion and lose site visitors and traffic. In general, CAPTCHAs shouldn't be tuned towards stopping all bots, or other attack vectors. That just makes the challenge too difficult for legitimate users. Start out easy and make it more difficult until you have spam levels at a somewhat manageable level, but not more.

最后，我想回到基于图像的解决方案:你不需要每次都创建一个新的图像。您可以预先创建大量(可能几千个?)，然后随着时间的推移慢慢地更改这个集合。例如，每10分钟或每小时过期100个最旧的图像，并用一组新的图像替换它们。对于每个请求，从整个验证码集中随机选择一个验证码。

当然，这无法承受直接攻击，但正如前面多次提到的，大多数验证码都无法承受。不过，这足以阻止随机机器人。

reCAPTCHA大学赞助并帮助图书数字化。

我们生成和检查扭曲的图像，所以你不需要运行昂贵的图像生成程序。