如果你做一个有不同颜色字母的验证码，并且你要求用户只输入特定颜色的字母呢?

在目前的概念中，CAPTCHA是不完善的，而且经常很容易被绕过。现有的解决方案没有一个是有效的——GMail最多只有20%的成功率。

实际情况要糟糕得多，因为这个统计数据只使用了OCR，还有其他方法可以绕过它——例如，CAPTCHA代理和CAPTCHA农场。我最近在OWASP做了一个关于这个主题的演讲，但是ppt还没有上线…

虽然CAPTCHA不能以任何形式提供实际的保护，但如果你想要阻止随意路过的垃圾，它可能足以满足你的需求。但它甚至无法阻止半专业的垃圾邮件发送者。

通常，对于一个有价值的资源需要保护的网站，你需要三个方面的方法:

限制来自认证用户的回复，不允许匿名帖子。 最小化(而不是阻止)来自认证用户的少数垃圾帖子-例如基于声誉的。人工版主在这里也可以提供帮助，但随后你会遇到其他问题——即充斥(甚至淹没)版主，而一些网站更喜欢开放…… 使用服务器端启发式逻辑来识别类似垃圾邮件的行为，或者更好的非人类行为。

验证码可以在第二个方面提供一点帮助，只是因为它改变了经济状况——如果其他方面都到位了，那么为了在如此少量的垃圾邮件中成功突破验证码(最低成本，但仍然是成本)就不再值得了。

同样，不是所有的垃圾邮件(和其他垃圾邮件)都是计算机生成的-使用CAPTCHA代理或农场坏人可以让真人发送垃圾邮件给你。

验证码代理是指他们将你的图像提供给其他网站的用户，如色情网站、游戏网站等。

验证码农场有很多廉价的劳动力(印度、远东等)来解决这些问题……通常每1000个验证码解决2-4美元。最近在Ebay上看到了这个帖子……

非常简单的算术很好。盲人也能回答。(但正如Jarod所说，要注意操作符优先级。)我想有人可以编写一个解析器，但这使得垃圾邮件的成本更高。

足够简单，并且围绕它编写代码并不困难。我看到了两个威胁:

随机的垃圾邮件机器人和可能支持它们的人类垃圾邮件机器人;而且 机器人创建游戏堆栈溢出

通过简单的算术，你可以打败威胁1，但不能打败威胁2。

@rob

蜜罐验证码怎么样? 哇，这么简单!看起来不错!尽管他们强调了无障碍问题。你认为这在SO会是一个问题吗?我个人觉得很难想象开发人员/程序员阅读屏幕有困难到需要屏幕阅读器的地步。

有些开发者不仅是法律上的盲人，而且是100%的盲人。手杖和辅助犬。我希望这个网站能支持他们在一个合理的方式。

然而，使用蜜罐验证码，您也可以放置一个隐藏的div，告诉他们将字段留空。如果他们填了，你也可以把它放在错误信息中，所以我不确定可访问性在这里有多大的问题。这肯定不太好，但也可能更糟。

我一直在用下面这个简单的技巧，但也不是万无一失。如果有人真的想绕过这个，很容易查看源代码(即不适合谷歌验证码)，但它应该愚弄大多数机器人。

像这样添加2个或更多的表单字段:

<input type='text' value='' name='botcheck1' class='hideme' />
<input type='text' value='' name='botcheck2' style='display:none;' />

然后使用CSS隐藏它们:

.hideme {
    display: none;
}

在提交时检查这些表单字段中是否有任何数据，如果它们确实未能提交表单。理由是，机器人将读取HTML并尝试填充每个表单字段，而人类不会看到输入字段，并让它们单独存在。

显然，你可以做更多的事情来减少这种利用，但这只是一个基本概念。

@ pc1oad1letter我也注意到在我的帖子。然而，这只是一个想法，而不是实际的实现。改变字体或使用不同的颜色，而不是粗体/斜体，可以很容易地解决可用性问题。