Me pregunto si es una buena idea usar captcha cuando se usa un token anti-CSRF en la página de inicio de sesión. Creo que es imposible que los robots se metan con la página de inicio de sesión porque el token cambia en cada solicitud.
En mi idea, el captcha en la página de inicio de sesión no es necesario y solo molestar a los usuarios puede usar el captcha después de varios intentos, puede evitar al atacante usando token y, como dije, captcha, después de varios intentos fallidos. Use captcha en la página de registro y use el token en cada formulario que tenga en su sitio web.
Sí es necesario. Un token todavía puede ser solicitado por un bruteforcer. Sí, le costaría a Bruteforcer una solicitud adicional por intento, pero un captcha aún bloquea los intentos completamente en su lugar.
Si no desea molestar a sus usuarios con un captcha, puede configurarlo para que cuando se use una contraseña incorrecta, la cuenta en cuestión requiera un captcha. Esto implica tanto a los forzados de brecha como a los de la cuenta original, de que alguien podría intentar acceder a su cuenta. Para evitar que un bot pueda determinar qué cuentas existen o no, almacene este indicador también para cuentas no existentes.
Los tokens CSRF no pretenden ser una protección contra los robots en absoluto. Sólo pretenden ser una protección contra los ataques CSRF. Es solo una coincidencia que algunos bots no manejen los tokens CSRF correctamente, pero muchos lo hacen. Si está preocupado por los bots, aún debe usar un CAPTCHA; la presencia de tokens CSRF no debería influir en su decisión al respecto.
Lea otras preguntas en las etiquetas authentication token captcha