在目前的概念中，CAPTCHA是不完善的，而且经常很容易被绕过。现有的解决方案没有一个是有效的——GMail最多只有20%的成功率。

实际情况要糟糕得多，因为这个统计数据只使用了OCR，还有其他方法可以绕过它——例如，CAPTCHA代理和CAPTCHA农场。我最近在OWASP做了一个关于这个主题的演讲，但是ppt还没有上线…

虽然CAPTCHA不能以任何形式提供实际的保护，但如果你想要阻止随意路过的垃圾，它可能足以满足你的需求。但它甚至无法阻止半专业的垃圾邮件发送者。

通常，对于一个有价值的资源需要保护的网站，你需要三个方面的方法:

限制来自认证用户的回复，不允许匿名帖子。 最小化(而不是阻止)来自认证用户的少数垃圾帖子-例如基于声誉的。人工版主在这里也可以提供帮助，但随后你会遇到其他问题——即充斥(甚至淹没)版主，而一些网站更喜欢开放…… 使用服务器端启发式逻辑来识别类似垃圾邮件的行为，或者更好的非人类行为。

验证码可以在第二个方面提供一点帮助，只是因为它改变了经济状况——如果其他方面都到位了，那么为了在如此少量的垃圾邮件中成功突破验证码(最低成本，但仍然是成本)就不再值得了。

同样，不是所有的垃圾邮件(和其他垃圾邮件)都是计算机生成的-使用CAPTCHA代理或农场坏人可以让真人发送垃圾邮件给你。

验证码代理是指他们将你的图像提供给其他网站的用户，如色情网站、游戏网站等。

验证码农场有很多廉价的劳动力(印度、远东等)来解决这些问题……通常每1000个验证码解决2-4美元。最近在Ebay上看到了这个帖子……

If the main issue with not using images for the captcha is the CPU load of creating those images, it may be a good idea to figure out a way to create those images when the CPU load is "light" (relatively speaking). There's no reason why the captcha image needs to be generated at the same time that the form is generated. Instead, you could pull from a large cache of captchas, generated the last time server load was "light". You could even reuse the cached captchas (in case there's a weird spike in form submissions) until you regenerate a bunch of new ones the next time the server load is "light".

我一直在使用http://stopforumspam.com作为对抗机器人的第一道防线。在我已经实现的网站上，它可以阻止几乎所有的垃圾邮件发送者，而不使用验证码。

利用社区本身来仔细检查这里的每个人是否都是人，比如像信任网一样的东西，怎么样?为了找到一个真正值得信赖的人来创建网站，我建议使用这个验证码来确保他绝对是100%的人类。

Rapidshare验证码-黎曼假设http://codethief.eu/kram/_/rapidshare_captcha2.jpg

当然，有一个很小的机会，他会忙着准备他的菲尔兹奖演讲，来帮助我们建立信任的网络，但是……

我认为一个定制的验证码是你最好的选择。这种方法需要一个专门针对机器人/脚本来破解它。这种努力因素应该会减少尝试的次数。人类毕竟是懒惰的

Mixriot.com使用ASCII艺术验证码(不确定这是否是第三方工具)。

 OooOOo  .oOOo.  o   O    oO   
 o       O       O   o     O   
 O       o       o   o     o   
 ooOOo.  OoOOo.  OooOOo    O   
      O  O    O      O     o   
      o  O    o      o     O   
 `OooO'  `OooO'      O   OooOO