Do I need to use captcha if I am using AntiForgeryToken in an MVC application?
Un CAPTCHA è un tipo di test challenge-response utilizzato nel calcolo per determinare se l'utente è o meno umano. (...) I CAPTCHA vengono utilizzati per impedire ai robot di utilizzare vari tipi di servizi informatici o di raccogliere determinati tipi di informazioni sensibili. - Wikipedia
Il CSRF (Cross-Site Request Forgery) è un tipo di attacco che si verifica quando un sito Web dannoso, email, blog, messaggio istantaneo o programma fa sì che il browser Web dell'utente esegua un'azione indesiderata su un sito attendibile per il quale il l'utente è attualmente autenticato. - OWASP
Come hai letto, sono entrambi aspetti completamente diversi della sicurezza. E sia i CAPTCHA che la CSRF che la può prevenire è negativa per l'esperienza dell'utente se non implementata correttamente (problemi di usabilità del browser, CAPTCHA difficili da risolvere, ecc.)
Detto questo, penso di aver risposto a tutte le tue domande con questo. Ti suggerisco di controllare le fonti a cui mi sono collegato. Eliminerà la maggior parte, se non, tutte (ulteriori) domande che potresti avere su questo argomento.