No meu processo de registro, o usuário se registra, recebe um link de verificação por e-mail e, se clicar nele, somente sua conta será verificada. Mas esse método de verificação não é muito fácil para os bots?

Acho que um email pode ser criado por um bot, mas com certeza, se a verificação estiver apenas clicando em um link, também poderá ser automatizado por um bot. Não tenho certeza, pois não fiz isso e não quero testá-lo apenas para saber, mas minha pergunta é: esse método de verificação não é defeituoso?

Estou pensando em enviar o código de verificação para o usuário como um texto que eles teriam que copiar / colar manualmente em um formulário E o formulário é protegido por captcha. Essa é uma ideia melhor? alguma falha nisso?