Способы, не мешающие пользователю: анализ IP запроса, проверка по черным спискам (регистарции с анонимных прокси и тора — блокируем, из стран типа Китая или IP датацентров — пропускаем, но помечаем как подозрительные). Особо стоит обратить внимание на мобильные IP и IP Оперы из Норвегии — их банить как раз не надо.
Проверка поддержки JS и Flash на клиенте (если нет, скорее всего это бот).
Анализ связей между аккаунтами (вход в разные аккаунты с одного IP с одной и той же кукой, или в похожее время например). Анализ числа регистраций во времени. Анализ поеведения пользователя после регистрации.
Ботов также хорошо ловить на заполнении полей-ловушек.
Надо понимать также, что боты бывают разные, есть такие, которые тупо ходят по всем сайтам и отправляют все найденные на них формы (эти отсекаются легко), а бывают специально разработанные под ваш сайт лучшими представителями темных шляп, с ними сложнее.
Предложенные же вами способы либо бесполезны, либо мешают пользователю, но легко обходятся спамерами, либо вообще представляют собой эпический бред (про цифры в имени).
А вообще, начните с вопроса, чем грозят вашему проекту «левые» регистрации. Почему их делают. Может, у вас требуется вход на сайт там, где можно обойтись без этого? Комментарии вполне можно оставлять без регистрации.
Если вы делает систему управления блогом и боитесь спам-ссылок, сделайте систему репутации: непроверенный пользователь не может оставлять ссылки, прверенный (активно комментирующий или одобренный автором блога — может). Проверяйте домены ссылок по базам типа akismet.
Если проект — соцсеть и вы боитесь массовой регистрации для спама, все гораздо хуже. Проекту уровня вконтакте реально помогла только привязка к телефонам, все остальные способы спамеры легко обходили. Впрочем, можно бороться со спамом, введя систему репутации, а также ограничивая взаимодействие между пользщователями-не-друзьями.
Простой
