验证码是攻击者的耐心和普通用户的耐心之间的权衡。即使他们可以被击败，如果他们减慢攻击者的速度以阻止至少其中一些攻击者，同时又不会吓到太多潜在用户，它们仍然可以达到目的。

当然，按照 IT 中的习惯，很多系统都因为货物崇拜而被使用、部署和采用。验证码很流行，这足以确保它们的广泛使用。

安全中的一切（一切）都与成本相平衡。与加密的目的、物理安全的目的、密码的目的以及几乎所有其他安全措施的目的一样，CAPTCHA 的目的^[*]是为了增加规避成本，而不是使规避成为不可能。

具体而言，其目的是将规避成本提高到规避价值之上。有效应用程序的一个很好的例子是博客评论上的验证码。如果评论可以通过低成本的自动化流程发布，那么垃圾邮件是不可避免的；垃圾评论的价值超过了几乎可以忽略不计的成本。但是引入验证码步骤会极大地增加计算机资源和（更重要的是）软件可用性的成本，以至于试图解决这个问题对攻击者来说没有经济意义。

因此，CAPTCHA 尽管方法相对简单，但通常可以消除大多数网站近 100% 的博客垃圾邮件。

--
^[*] - 256 位对称密钥除外。鉴于当前的热力学极限，这很简单，不可能以任何代价进行暴力破解。

验证码通常由不需要帐户（用户名、密码）的网站使用。然后，该内容可能会被其他站点轻松复制和使用。验证码相当于一个死锁。它将小偷送到邻居家而不是你家，因为你的家更难闯入。