1) Генерируешь картинку из цифр с именем файла, не говорящим ни о чем (чтобы роботы не могли по имени файла определить что на картинке нарисовано)
2) Толкаешь в базу имя картинки и цифры, которые на ней нарисованы.
3) При выдаче картинки на экран также выдаешь в форму скрытое поле с именем файла. Также помечаешь картинку в базе, чтобы одна и та же картинка не выдалась разным пользователям.
4) Сравниваешь, ввел ли пользователь правильные цифры для данного файла или нет.
5) Если да, то удаляешь картинку из базы, чтоб никто больше не смог ей воспользоваться.

Так как генерация абсолютно случайная, то робот просто замучится подбирать комбинацию цифр, а если еще и сделать так чтобы через несколько неудачных попыток картинка стиралась - тогда вообще о брутфорсе не может идти речи.

SHOGAL