Acredito que a segurança deve ser mais pensada agora que lançamos, mas não deve ser bruta para não espantar as pessoas, por exemplo, se a pessoa quiser comentar e precisar passar por um captcha antes, vai ser uma experiência negativa que pode afetar a permanência dela no site. Então o correto seria definir um total de comentários consecutivos antes de necessitar do captcha, assim como no login.
No cadastro é bem possível a utilização de captchas, não vejo problemas, mas acho que isso não impede a criação do que você chama de "contas zumbis", precisaria pedir algo que é único a cada usuário, no caso temos o e-mail, mas ele pode ser gerado facilmente com aqueles e-mails temporários, o mais viável que eu consigo pensar é perguntar o número de celular da pessoa para validar, uma pessoa tem geralmente um único número, e como é um número de celular, não chega a ser uma pergunta pessoal como RG ou CPF, o que também espantaria usuários.