En mi proceso de registro, el usuario se registra, recibe un correo electrónico con un enlace de verificación y, si hace clic en él, solo se verificará su cuenta. ¿Pero no es este método de verificación demasiado fácil para los bots?

Creo que un bot podría crear un correo electrónico, pero seguro que si la verificación solo hace clic en un enlace, también podría ser automatizado por un bot. No estoy seguro ya que no he hecho esto y no me importa probarlo solo para saberlo, pero mi pregunta es si este método de verificación no es defectuoso.

Estoy pensando en enviar el código de verificación al usuario como un texto que tendrían que copiar / pegar manualmente en un formulario Y el formulario está protegido contra captcha. ¿Es esta una mejor idea? alguna falla con ella?