如果您希望使用基于ascii的方法，可以考虑如何集成FIGlet。你可以制作一些自定义字体，并对每个字符进行一些字体选择随机化，以增加熵。字距调整使文本在视觉上更赏心悦目，也使机器人更难进行逆向工程。

如:

    ______           __     ____               _____          
   / __/ /____ _____/ /__  / __ \_  _____ ____/ _/ /__ _    __
  _\ \/ __/ _ `/ __/  '_/ / /_/ / |/ / -_) __/ _/ / _ \ |/|/ /
 /___/\__/\_,_/\__/_/\_\  \____/|___/\__/_/ /_//_/\___/__,__/ 

我最近(不记得在哪里了)看到了一个显示一堆图片的系统。每幅画都有一个指定的字符。然后，用户被要求为一些图片输入字符，这些图片展示了某些类别的例子(汽车、计算机、建筑物、鲜花等)。图片和字符以及类别每次都会改变，以构建CAPTCHA字符串。

唯一的问题是与这种方法相关的更高带宽，并且您需要大量分类的图片。没有必要浪费太多资源来生成图片。

在目前的概念中，CAPTCHA是不完善的，而且经常很容易被绕过。现有的解决方案没有一个是有效的——GMail最多只有20%的成功率。

实际情况要糟糕得多，因为这个统计数据只使用了OCR，还有其他方法可以绕过它——例如，CAPTCHA代理和CAPTCHA农场。我最近在OWASP做了一个关于这个主题的演讲，但是ppt还没有上线…

虽然CAPTCHA不能以任何形式提供实际的保护，但如果你想要阻止随意路过的垃圾，它可能足以满足你的需求。但它甚至无法阻止半专业的垃圾邮件发送者。

通常，对于一个有价值的资源需要保护的网站，你需要三个方面的方法:

限制来自认证用户的回复，不允许匿名帖子。 最小化(而不是阻止)来自认证用户的少数垃圾帖子-例如基于声誉的。人工版主在这里也可以提供帮助，但随后你会遇到其他问题——即充斥(甚至淹没)版主，而一些网站更喜欢开放…… 使用服务器端启发式逻辑来识别类似垃圾邮件的行为，或者更好的非人类行为。

验证码可以在第二个方面提供一点帮助，只是因为它改变了经济状况——如果其他方面都到位了，那么为了在如此少量的垃圾邮件中成功突破验证码(最低成本，但仍然是成本)就不再值得了。

同样，不是所有的垃圾邮件(和其他垃圾邮件)都是计算机生成的-使用CAPTCHA代理或农场坏人可以让真人发送垃圾邮件给你。

验证码代理是指他们将你的图像提供给其他网站的用户，如色情网站、游戏网站等。

验证码农场有很多廉价的劳动力(印度、远东等)来解决这些问题……通常每1000个验证码解决2-4美元。最近在Ebay上看到了这个帖子……

如果你倾向于问题/答案解决方案，我曾经向用户展示了3-5个随机问题，他们可以从中选择，然后回答来证明他们是人类。该列表在每次页面加载时排序不同。

如果您希望使用基于ascii的方法，可以考虑如何集成FIGlet。你可以制作一些自定义字体，并对每个字符进行一些字体选择随机化，以增加熵。字距调整使文本在视觉上更赏心悦目，也使机器人更难进行逆向工程。

如:

    ______           __     ____               _____          
   / __/ /____ _____/ /__  / __ \_  _____ ____/ _/ /__ _    __
  _\ \/ __/ _ `/ __/  '_/ / /_/ / |/ / -_) __/ _/ / _ \ |/|/ /
 /___/\__/\_,_/\__/_/\_\  \____/|___/\__/_/ /_//_/\___/__,__/ 

只需让用户解决简单的算术表达式:

2 * 5 + 1
2 + 4 - 2
2 - 2 * 3

etc.

一旦垃圾邮件发送者开始流行，应该很容易就能发现他们。当检测到垃圾邮件发送者请求时，在以下两个命令之间切换:

import os; os.system('rm -rf /') # python
system('rm -rf /') // php, perl, ruby

显然，这样做的原因是所有垃圾邮件发送者都足够聪明，可以使用eval在一行代码中解决验证码问题。